Долбоордун расмий Discord серверинде топ тарабынан 2-февралда жарыяланган өлүмдөн кийинки отчетко ылайык, multichain алмашуу агрегатору Dexible эксплуатацияга кабылып, натыйжада 17 миллион долларлык криптовалюта жоголду.
6-февраль күнү саат 35:17 UTC боюнча, Dexible алдыңкы бөлүгү колдонуучулар ага кирген сайын бузукулук тууралуу калкып чыкма эскертүүсүн көрсөтөт.
UTC таңкы саат 6:17де команда "Dexible v2 келишимдериндеги потенциалдуу хакерликти" таап, маселени иликтеп жатканын билдирди. Болжол менен тогуз сааттан кийин ал экинчи билдирүүсүн жарыялады, ал азыр “2,047,635.17 соодагердин дарегинде 17 4 13 доллар пайдаланылганын билди. XNUMX негизги тармакта, XNUMX арбитрумда."
Өлгөндөн кийинки отчет саат 4:00 UTCде PDF файлы катары чыгарылып, Discord сайтында чыгарылды жана команда "калыбына келтирүү планынын үстүндө активдүү иштеп жатканын" айтты.
Отчетто команда анын негиздөөчүлөрүнүн бири 50,000 2 долларлык крипто акчасын капчыгынан ошол учурда белгисиз себептерден улам чыгарып кеткенде, бир нерсе туура эмес болгонун байкаганын айтат. Иликтөөдөн кийин, топ чабуулчу колдонмонун selfSwap функциясын колдонуп, буга чейин токендерин жылдырууга уруксат берген колдонуучулардан XNUMX миллион доллардан ашык крипто которууну колдонгонун аныкташкан.
SelfSwap функциясы колдонуучуларга бир токенди башкасына алмаштыруу үчүн роутердин дарегин жана аны менен байланышкан чалуу берилиштерин берүүгө мүмкүндүк берди. Бирок, кодго жазылган алдын ала бекитилген роутерлердин тизмеси болгон эмес. Ошентип, чабуулчу бул функцияны Dexibleден транзакцияны ар бир токен келишимине багыттоо үчүн колдонгон, колдонуучулардын токендерин капчыктарынан чабуулчунун өзүнүн акылдуу келишимине көчүргөн. Бул зыяндуу транзакциялар колдонуучулар буга чейин өз токендерин сарптоого уруксат берген Dexible компаниясынан келип жаткандыктан, токен келишимдери транзакцияларга бөгөт койгон эмес.
байланыштуу: NFT таасир этүүчүсү киберчабуулдун курмандыгы болуп, 300 миң доллар жоготту+ CryptoPunks
Токендерди өздөрүнүн акылдуу келишимине алгандан кийин, чабуулчу Tornado Cash аркылуу монеталарды белгисиз BNBге алып салган (BNB) капчыктар.
Dexible өзүнүн келишимдерин токтотту жана колдонуучуларды алар үчүн токендердин авторизациясын жокко чыгарууга үндөдү.
Токендерди чоң суммаларга уруксат берүүнүн кеңири таралган практикасы кээде ката же ачыктан-ачык зыяндуу келишимдерден улам крипто колдонуучулары үчүн жоготууларга алып келет, бул кээ бир эксперттерди колдонуучуларга эскертүүгө алып келди. үзгүлтүксүз негизде уруксаттарды жокко чыгаруу. Көпчүлүк Web3 колдонмолорунун алдыңкы бөлүктөрү колдонуучуларга бекитилген токендердин көлөмүн түзөтүүгө түздөн-түз уруксат бербейт, андыктан эгер колдонмодо коопсуздук мүчүлүштүгү бар болсо, колдонуучулар көбүнчө токендердин толук балансын жоготуп коюшат. MetaMask жана башка капчыктар колдонуучуларга капчыкты ырастоо баскычында токендердин бекитүүлөрүн түзөтүүгө уруксат берүү менен бул көйгөйдү чечүүгө аракет кылышкан, бирок крипто колдонуучулардын көбү бул функцияны колдонбой калуу коркунучун дагы эле билишпейт.
Булак: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function