Secondo un rapporto post mortem pubblicato dal team sul canale Discord ufficiale del progetto il 17 febbraio, l'aggregatore di scambi multichain Dexible è stato compromesso da un exploit e, come diretta conseguenza, sono stati rubati 2 milioni di dollari in bitcoin.
A partire dal 17 febbraio, 6:35 UTC, il front-end di Dexible mostra un avviso popup sull'hack ogni volta che gli utenti lo visitano.
Il team ha dichiarato alle 6:17 UTC di aver trovato "un possibile hack sui contratti Dexible v2" e che stava esaminando la questione in quel momento. Una seconda dichiarazione è stata rilasciata circa nove ore dopo, in cui si diceva che la società ora sapeva che "$ 2,047,635.17 sono stati sfruttati da 17 indirizzi di trading". 4 su mainnet, 13 su arbitrum.”
Un rapporto post mortem è stato fornito come file PDF alle 4:00 UTC e reso disponibile su Discord. Il team ha anche affermato che "sta attualmente lavorando a un piano di riparazione".
L'organizzazione ha dichiarato nel rapporto di essersi resa conto che qualcosa non andava quando uno dei suoi fondatori aveva risorse crittografiche del valore di $ 50,000 trasferite dal suo portafoglio per motivi che all'epoca non erano chiari. Le ragioni di questa mossa erano sconosciute all'epoca. A seguito della loro indagine, il team è giunto alla conclusione che un avversario aveva utilizzato la funzione selfSwap dell'app per rubare criptovaluta per un valore di quasi 2 milioni di dollari da utenti che avevano precedentemente autorizzato il programma a trasferire i propri token.
Gli utenti potevano scambiare un token con un altro utilizzando la funzione selfSwap, che richiedeva loro di fornire l'indirizzo di un router e i calldata ad esso collegati. Tuttavia, il codice non includeva un elenco di router che erano già stati esaminati e autorizzati. Per spostare i token degli utenti dai loro portafogli nel contratto intelligente dell'attaccante, l'attaccante ha utilizzato questo metodo per instradare una transazione da Dexible a ciascun contratto token. I contratti token non hanno posto fine a queste transazioni potenzialmente pericolose poiché provenivano da Dexible, a cui gli utenti avevano già dato il permesso di utilizzare i propri token.
Dopo aver ricevuto i token nel proprio contratto intelligente, l'attaccante ha ritirato le monete utilizzando Tornado Cash e le ha collocate in portafogli BNB (BNB) di cui non erano a conoscenza.
L'esecuzione dei contratti di Dexible è stata interrotta e la società ha chiesto agli utenti di ritirare le loro autorizzazioni token per tali contratti.
La pratica comune di autorizzare l'approvazione di token per grandi quantità a volte può portare a perdite per gli utenti di criptovaluta a causa di contratti difettosi o addirittura dannosi. Di conseguenza, alcuni esperti del settore consigliano agli utenti di revocare regolarmente le approvazioni per proteggersi da potenziali danni finanziari. Poiché i front-end della maggior parte delle applicazioni Web3 non consentono esplicitamente agli utenti di modificare il numero di token concessi, gli utenti spesso perdono l'intero saldo dei token se viene scoperto che un'app ha un problema di sicurezza. Sebbene MetaMask e altri portafogli hanno tentato di risolvere questo problema consentendo agli utenti di modificare le approvazioni dei token durante il processo di conferma del portafoglio, la maggior parte degli utenti di criptovalute non è ancora informata delle potenziali conseguenze del mancato utilizzo di questa funzione.
Fonte: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack