טק

אגרגטור מתמוסס נפרץ תמורת 2 מיליון דולר באמצעות פונקציית 'selfSwap'

02/19/2023
חדשות Ethereum של ביטקוין

אגרגטור הבורסה הרב-שרשראות Dexible נפגע מניצול, וכתוצאה מכך אבדו מטבעות קריפטוגרפיים בשווי 2 מיליון דולר, על פי דוח נתיחה שלאחר המוות ב-17 בפברואר שפרסם הצוות בשרת הדיסקורד הרשמי של הפרויקט.

החל מהשעה 6:35 UTC ב-17 בפברואר, הקצה הקדמי של Dexible מציג אזהרה קופצת על הפריצה בכל פעם שמשתמשים מנווטים אליו.

בשעה 6:17 UTC, הצוות דיווח שהוא גילה "פריצה פוטנציאלית לחוזי Dexible v2" והוא חוקר את הנושא. כתשע שעות לאחר מכן, היא פרסמה הצהרה שנייה לפיה היא יודעת כעת "2,047,635.17 דולר נוצלו מ-17 כתובות של סוחרים. 4 ב-mainnet, 13 ב-arbitrum."

דוח נתיחה שלאחר המוות הוצא בשעה 4:00 UTC כקובץ PDF ופורסם בדיסקורד, והצוות אמר שהוא "עובד באופן פעיל על תוכנית תיקון".

בדו"ח, הצוות מציין כי הבחין שמשהו לא בסדר כאשר אחד ממייסדיו הוציא קריפטו בשווי 50,000 דולר מהארנק שלו מסיבות שלא היו ידועות באותה עת. לאחר חקירה, הצוות מצא כי תוקף השתמש בפונקציית selfSwap של האפליקציה כדי להעביר קריפטו בשווי של למעלה מ-2 מיליון דולר ממשתמשים שאישרו בעבר לאפליקציה להעביר את האסימונים שלהם.

הפונקציה selfSwap אפשרה למשתמשים לספק כתובת של נתב ונתוני שיחות המשויכים אליו כדי לבצע החלפה של אסימון אחד באחר. עם זאת, לא הייתה רשימה של נתבים שאושרו מראש שנכתבו בקוד. אז, התוקף השתמש בפונקציה הזו כדי לנתב עסקה מ-Dexible לכל חוזה אסימון, והעביר את האסימונים של המשתמשים מהארנקים שלהם לחוזה החכם של התוקף. מכיוון שהעסקאות הזדוניות הללו הגיעו מ-Dexible, שמשתמשים כבר אישרו להוציא את האסימונים שלהם, חוזי האסימון לא חסמו את העסקאות.

מידע נוסף: משפיען NFT נופל קורבן למתקפת סייבר, מפסיד 300 אלף דולר+ CryptoPunks

לאחר שקיבל את האסימונים לחוזה החכם שלו, התוקף משך את המטבעות דרך Tornado Cash לתוך BNB לא ידוע (BNB) ארנקים.

Dexible השהתה את החוזים שלה והפצירה במשתמשים לבטל עבורם הרשאות אסימונים.

הפרקטיקה המקובלת של אישור אישורי אסימונים עבור כמויות גדולות הובילה לפעמים להפסדים עבור משתמשי קריפטו עקב חוזים זדוניים או פגמים, מה שהוביל כמה מומחים להזהיר משתמשים לבטל אישורים על בסיס קבוע. החזיתות של רוב אפליקציות ה-Web3 אינן מאפשרות למשתמשים לערוך באופן ישיר את כמות האסימונים המאושרים, כך שמשתמשים מאבדים לעתים קרובות את היתרה המלאה של האסימונים שלהם אם יתברר שלאפליקציה יש ליקוי אבטחה. MetaMask וארנקים אחרים ניסו לתקן בעיה זו על ידי מתן אפשרות למשתמשים לערוך אישורי אסימונים בשלב אישור הארנק, אך משתמשי קריפטו רבים עדיין אינם מודעים לסיכון של אי שימוש בתכונה זו.