טק

מטבעות קריפטו בשווי 2 מיליון דולר שאבדו בפריצה ל-Dexible

02/20/2023
חדשות Ethereum של ביטקוין

על פי דוח נתיחה שלאחר המוות שפרסם הצוות בערוץ הדיסקורד הרשמי של הפרויקט ב-17 בפברואר, אגרגטור הבורסה הרב-שרשראות Dexible נפגע על ידי ניצול, וכתוצאה ישירה, ביטקוין בשווי 2 מיליון דולר נגנב.

החל מ-17 בפברואר, 6:35 בערב UTC, הקצה הקדמי של Dexible מציג אזהרת קופץ לגבי הפריצה בכל פעם שמשתמשים מבקרים בו.

הצוות אמר בשעה 6:17 UTC כי הוא מצא "פריצה אפשרית לחוזי Dexible v2" ובחנה את הנושא באותו זמן. הודעה שנייה פורסמה כתשע שעות לאחר מכן, שבה נאמר כי החברה יודעת כעת כי "2,047,635.17 דולר נוצלו מ-17 כתובות מסחר". 4 ב-mainnet, 13 ב-arbitrum."

דוח נתיחה שלאחר המוות סופק כקובץ PDF בשעה 4:00 UTC והפך לזמין בדיסקורד. הצוות גם אמר שהוא "עובד כרגע על תוכנית תיקון".

הארגון ציין בדו"ח כי נודע לו שמשהו אינו כשורה כאשר לאחד ממייסדיו הועברו נכסי קריפטו בשווי 50,000 דולר מהארנק שלו מסיבות שלא היו ברורות באותה עת. הסיבות למהלך זה לא היו ידועות אז. בעקבות החקירה שלהם, הצוות הגיע למסקנה שיריב השתמש בתכונת selfSwap של האפליקציה כדי לגנוב מטבעות קריפטוגרפיים בשווי של כמעט 2 מיליון דולר ממשתמשים שנתנו בעבר אישור לתוכנית להעביר את האסימונים שלהם.

משתמשים יכלו לבצע סחר של אסימון אחד עבור אחר על ידי שימוש בפונקציית selfSwap, שדרשה מהם לספק את הכתובת של הנתב ואת נתוני השיחה הקשורים אליו. עם זאת, הקוד לא כלל רשימה של נתבים שכבר נבדקו ואושרו. על מנת להעביר אסימונים של משתמשים מהארנקים שלהם לחוזה החכם של התוקף, התוקף השתמש בשיטה זו כדי לנתב עסקה מ-Dexible לכל חוזה אסימון. חוזי אסימונים לא עצרו את העסקאות שעלולות להיות מסוכנות הללו מכיוון שמקורן ב-Dexible, שמשתמשים כבר נתנו אישור להשתמש באסימונים שלהם.

לאחר שקיבל את האסימונים לחוזה החכם שלו, התוקף משך את המטבעות באמצעות טורנדו קאש והניח אותם בארנקי BNB (BNB) שהם לא היו מודעים להם.

ביצוע החוזים של Dexible הופסק, והחברה ביקשה מהמשתמשים לבטל את ההרשאות הסמליות שלהם לחוזים כאלה.

הנוהג הנפוץ של אישור אישורי אסימונים עבור סכומים גבוהים יכול לפעמים להוביל להפסדים עבור משתמשי מטבעות קריפטוגרפיים עקב חוזים זדוניים או זדוניים. כתוצאה מכך, כמה מומחים בתעשייה מייעצים למשתמשים לבטל באופן קבוע אישורים על מנת להגן על עצמם מפני נזק פיננסי אפשרי. מכיוון שהקצה הקדמי של רוב יישומי Web3 אינו מאפשר למשתמשים לשנות במפורש את מספר האסימונים המוענקים, משתמשים לרוב מאבדים את כל יתרת האסימונים שלהם אם מתגלה שלאפליקציה יש בעיית אבטחה. למרות ש מטאמאסק וארנקים אחרים ניסו לפתור בעיה זו על ידי מתן אפשרות למשתמשים לשנות אישורי אסימונים במהלך תהליך אישור הארנק, רוב משתמשי המטבעות הקריפטוגרפיים עדיין אינם מודעים להשלכות הפוטנציאליות של אי שימוש בפונקציה זו.

מקור: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack