Fjölkeðjuskiptasamsafnarinn Dexible hefur orðið fyrir misnotkun og dulritunargjaldmiðill að verðmæti 2 milljónir Bandaríkjadala hefur tapast vegna þess, samkvæmt 17. febrúar líknarskýrslu sem teymið gaf út á opinberum Discord netþjóni verkefnisins.
Frá og með 6:35 UTC þann 17. febrúar sýnir Dexible framendinn sprettiglugga viðvörun um innbrotið hvenær sem notendur fara að því.
Klukkan 6:17 UTC tilkynnti teymið að það hefði uppgötvað „mögulegt hakk á Dexible v2 samninga“ og væri að rannsaka málið. Um það bil níu klukkustundum síðar gaf það út aðra yfirlýsingu um að það vissi nú að „$2,047,635.17 voru nýttir frá 17 heimilisföngum kaupmanna. 4 á mainnet, 13 á gerðardómi.
Skýrsla eftir slátrun var gefin út klukkan 4:00 UTC sem PDF skjal og gefin út á Discord og teymið sagði að það væri „virkt að vinna að úrbótaáætlun“.
Í skýrslunni segir teymið að það hafi tekið eftir því að eitthvað var að þegar einn af stofnendum þess lét færa 50,000 dollara af dulmáli úr veskinu sínu af ástæðum sem voru óþekktar á þeim tíma. Eftir rannsókn komst teymið að því að árásarmaður hafði notað selfSwap aðgerð appsins til að færa yfir 2 milljónir dollara af dulmáli frá notendum sem áður höfðu heimilað forritinu að færa táknin sín.
SelfSwap aðgerðin gerði notendum kleift að gefa upp heimilisfang beins og símtalsgögn tengd honum til að skipta um einn tákn fyrir annan. Hins vegar var enginn listi yfir fyrirfram samþykkta leið skrifaður inn í kóðann. Þannig að árásarmaðurinn notaði þessa aðgerð til að beina færslu frá Dexible yfir á hvern auðkennissamning og færði tákn notenda úr veskinu yfir í eigin snjallsamning árásarmannsins. Vegna þess að þessi skaðlegu viðskipti komu frá Dexible, sem notendur höfðu þegar heimilað að eyða táknunum sínum, lokuðu táknsamningarnir ekki viðskiptin.
Tengt: NFT áhrifamaður verður fórnarlamb netárásar, tapar $300K+ CryptoPunks
Eftir að hafa fengið táknin inn í sinn eigin snjalla samning, dró árásarmaðurinn myntin í gegnum Tornado Cash inn í óþekkt BNB (BNB) veski.
Dexible hefur gert hlé á samningum sínum og hvatt notendur til að afturkalla táknheimildir fyrir þá.
Algeng venja að heimila táknsamþykki fyrir stórar upphæðir hefur stundum leitt til taps fyrir dulritunarnotendur vegna galla eða beinlínis illgjarnra samninga, sem hefur leitt til þess að sumir sérfræðingar vara notendur við að afturkalla samþykki reglulega. Framendarnir fyrir flest Web3 öpp leyfa notendum ekki beint að breyta magni auðkenna sem samþykkt eru, þannig að notendur missa oft heildarstöðu táknanna sinna ef í ljós kemur að app er með öryggisgalla. MetaMask og önnur veski hafa reynt að laga þetta vandamál með því að leyfa notendum að breyta táknasamþykktum í veskisstaðfestingarskrefinu, en margir dulritunarnotendur eru enn ómeðvitaðir um hættuna á að nota ekki þennan eiginleika.
Heimild: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function