L'aggregatore di scambi multichain Dexible è stato colpito da un exploit e di conseguenza sono stati persi 2 milioni di dollari in criptovaluta, secondo un rapporto post mortem del 17 febbraio pubblicato dal team sul server Discord ufficiale del progetto.
A partire dalle 6:35 UTC del 17 febbraio, il front-end di Dexible mostra un avviso popup sull'hacking ogni volta che gli utenti lo navigano.
Alle 6:17 UTC, il team ha riferito di aver scoperto "un potenziale hack sui contratti Dexible v2" e stava indagando sul problema. Circa nove ore dopo, ha rilasciato una seconda dichiarazione secondo cui ora sapeva che “$ 2,047,635.17 sono stati sfruttati da 17 indirizzi di trader. 4 su mainnet, 13 su arbitrum.”
Un rapporto post mortem è stato emesso alle 4:00 UTC come file PDF e pubblicato su Discord, e il team ha affermato che stava "lavorando attivamente a un piano di riparazione".
Nel rapporto, il team afferma di aver notato che qualcosa non andava quando uno dei suoi fondatori aveva prelevato $ 50,000 di criptovalute dal suo portafoglio per motivi che all'epoca erano sconosciuti. Dopo aver indagato, il team ha scoperto che un utente malintenzionato aveva utilizzato la funzione selfSwap dell'app per spostare oltre $ 2 milioni di criptovalute dagli utenti che avevano precedentemente autorizzato l'app a spostare i propri token.
La funzione selfSwap consentiva agli utenti di fornire l'indirizzo di un router e i calldata ad esso associati per effettuare uno scambio di un token con un altro. Tuttavia, nel codice non era presente alcun elenco di router preapprovati. Quindi, l'attaccante ha utilizzato questa funzione per instradare una transazione da Dexible a ciascun contratto token, spostando i token degli utenti dai loro portafogli nel contratto intelligente dell'attaccante. Poiché queste transazioni dannose provenivano da Dexible, che gli utenti avevano già autorizzato a spendere i propri token, i contratti token non hanno bloccato le transazioni.
Correlato: L'influencer NFT cade vittima di un attacco informatico, perde $ 300K + CryptoPunks
Dopo aver ricevuto i token nel proprio contratto intelligente, l'attaccante ha ritirato le monete tramite Tornado Cash in BNB sconosciuti (BNB) portafogli.
Dexible ha sospeso i suoi contratti e ha esortato gli utenti a revocare le autorizzazioni dei token per loro.
La pratica comune di autorizzare l'approvazione di token per grandi quantità a volte ha portato a perdite per gli utenti di criptovalute a causa di contratti difettosi o addirittura dannosi, portando alcuni esperti ad avvertire gli utenti di revocare regolarmente le approvazioni. I front-end per la maggior parte delle app Web3 non consentono direttamente agli utenti di modificare la quantità di token approvati, quindi gli utenti spesso perdono l'intero saldo dei propri token se un'app presenta un difetto di sicurezza. MetaMask e altri portafogli hanno provato a risolvere questo problema consentendo agli utenti di modificare le approvazioni dei token nella fase di conferma del portafoglio, ma molti utenti crittografici non sono ancora consapevoli del rischio di non utilizzare questa funzione.
Fonte: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function