Prema post mortem izvješću koje je tim objavio na službenom Discord kanalu projekta 17. veljače, agregator višelančane razmjene Dexible bio je kompromitiran eksploatacijom, a kao izravna posljedica, bitcoin u vrijednosti od 2 milijuna dolara je ukraden.
Od 17. veljače, 6:35 UTC, prednji kraj Dexiblea prikazuje skočno upozorenje o haku svaki put kada ga korisnici posjete.
Tim je u 6:17 ujutro UTC rekao da je pronašao "mogući hak na Dexible v2 ugovore" i da u to vrijeme istražuje stvar. Drugo priopćenje izdano je oko devet sati kasnije, u kojem je rečeno da tvrtka sada zna da je "2,047,635.17 dolara iskorišteno sa 17 trgovačkih adresa." 4 na glavnoj mreži, 13 na arbitraži.”
Obdukcija je dostavljena kao PDF datoteka u 4:00 UTC i dostupna na Discordu. Tim je također rekao da "trenutačno radi na planu popravka".
Organizacija je u izvješću navela da je postala svjesna da nešto nije u redu kada je jedan od njezinih osnivača prebacio kripto imovinu u vrijednosti od 50,000 dolara iz svog novčanika iz razloga koji su tada bili nejasni. Razlozi za ovaj potez tada su bili nepoznati. Nakon njihove istrage, tim je došao do zaključka da je protivnik upotrijebio značajku selfSwap aplikacije kako bi ukrao kriptovalute u vrijednosti od gotovo 2 milijuna dolara od korisnika koji su prethodno dali dopuštenje programu za prijenos njihovih tokena.
Korisnici su mogli izvršiti razmjenu jednog tokena za drugi pomoću funkcije selfSwap, koja je od njih zahtijevala da daju adresu usmjerivača i podatke o pozivu povezane s njim. Međutim, kod nije uključivao popis usmjerivača koji su već pregledani i autorizirani. Kako bi premjestio korisničke tokene iz njihovih novčanika u napadačev vlastiti pametni ugovor, napadač je upotrijebio ovu metodu za usmjeravanje transakcije s Dexible-a na svaki ugovor tokena. Ugovori o tokenima nisu zaustavili ove potencijalno opasne transakcije jer su potjecali od Dexiblea, kojem su korisnici već dali dopuštenje za korištenje njihovih tokena.
Nakon što su primili tokene u vlastiti pametni ugovor, napadač je povukao kovanice pomoću Tornado Casha i smjestio ih u BNB (BNB) novčanike za koje oni nisu bili svjesni.
Izvršenje ugovora Dexiblea je zaustavljeno, a tvrtka je zatražila da korisnici povuku svoje autorizacije tokena za takve ugovore.
Uobičajena praksa autorizacije odobrenja tokena za velike iznose ponekad može dovesti do gubitaka za korisnike kriptovalute zbog grešaka ili potpuno zlonamjernih ugovora. Zbog toga neki stručnjaci savjetuju korisnicima da redovito opozivaju odobrenja kako bi se zaštitili od potencijalne financijske štete. Budući da sučelja većine Web3 aplikacija ne dopuštaju izričito korisnicima promjenu broja dodijeljenih tokena, korisnici često gube cijeli saldo svojih tokena ako se otkrije da aplikacija ima sigurnosni problem. Iako MetaMask i drugi novčanici pokušali su riješiti ovaj problem omogućujući korisnicima da mijenjaju odobrenja tokena tijekom procesa potvrde novčanika, većina korisnika kriptovalute još uvijek nije informirana o mogućim posljedicama nekorištenja ove funkcije.
Izvor: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack