- Un avviso popup relativo all'attacco è stato mostrato sul front-end di Dexible.
- A uno dei fondatori è stata misteriosamente rimossa una criptovaluta per un valore di 50,000 USD.
Secondo un rapporto post mortem pubblicato dal Dessibile team sul canale Discord ufficiale del progetto il 17 febbraio. L'aggregatore di scambio multichain è stato violato, con conseguente perdita di $ 2 milioni di cryptocurrencies. Dalle 6:35 UTC del 17 febbraio, sul front-end Dexible è stato mostrato un avviso popup riguardante l'attacco.
Hanno annunciato la scoperta di un possibile hack sui contratti Dexible v2 alle 6:17 UTC. E ha detto che lo stavano esaminando. Dopo aver atteso per circa nove ore, ha rilasciato una seconda dichiarazione dicendo: “$ 2,047,635.17 sono stati sfruttati da 17 indirizzi di trader. 4 sulla rete principale, 13 su arbitrario.” Inoltre, intorno alle 4:00 UTC, è stato caricato su Discord un file PDF con i dettagli dell'incidente. E il team ha detto che stavano attualmente lavorando a una strategia di riparazione.
Sfruttamento della funzione SelfSwap
Inoltre, secondo il rapporto, l'equipaggio sapeva che qualcosa non andava. Quando uno dei fondatori ha avuto 50,000 USD di criptovaluta misteriosamente rimossi dal suo portafoglio. I ricercatori hanno scoperto che un utente malintenzionato aveva trasferito oltre $ 2 milioni di criptovaluta da utenti che avevano consentito all'app di spostare i propri token utilizzando la funzione selfSwap.
Inoltre, i token potrebbero essere scambiati con l'uso della funzione selfSwap inserendo il token desiderato e l'indirizzo del router o dati della chiamata. Al contrario, il codice non forniva un elenco di router convalidati.
L'attaccante ha quindi sfruttato questa capacità per inviare una transazione da Dexible a ciascun contratto token, trasferendo i token dai portafogli degli utenti nel contratto intelligente dell'attaccante. I contratti token non hanno impedito queste transazioni illecite poiché provenivano da Dexible, che i clienti avevano già approvato per la spesa token.
Raccomandato per te:
Protocollo DeFi dForce sfruttato per 3.65 milioni di dollari da un hacker
Fonte: https://thenewscrypto.com/dex-aggregator-dexible-exploited-of-2-million-in-recent-hack/