Aggregator DexibleApp به قیمت ۲ میلیون دلار از طریق ویژگی “selfSwap” هک شد

آخرین به روز رسانی: ۲۸ بهمن ۱۴۰۱

۰ 2 خواندن این مطلب 2 دقیقه زمان میبرد

DexibleApp aggregator hacked for $2M via

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

هدف از ویژگی buggy این بود که به کاربران اجازه دهد اطلاعات مسیریابی خود را ارائه دهند، اما این کد روترها را به لیست از پیش تأیید شده محدود نمی کرد.

طبق یک گزارش پس از مرگ که توسط این تیم در سرور رسمی Discord پروژه در ۱۷ فوریه منتشر شد، تجمع کننده صرافی چند زنجیره ای DexibleApp مورد سوء استفاده قرار گرفت که منجر به از دست دادن ۲ میلیون دلار ارز دیجیتال شد.

از ساعت ۶:۳۵ عصر UTC در ۱۷ فوریه، قسمت جلویی DexibleApp هر زمان که کاربر به آن دسترسی پیدا کند، یک هشدار پاپ آپ درباره هک نمایش داده می شود.

در ساعت ۶:۱۷ صبح UTC، تیم یک “هک احتمالی در قرارداد Dexible v2” را کشف کرد و گزارش داد که در حال بررسی این موضوع هستند. حدود ۹ ساعت بعد آنها بیانیه دوم را صادر کردند. ۴ در mainnet و ۱۳ در arbitrum. ”

در ساعت ۴ بعد از ظهر UTC، گزارش پس از مرگ در قالب یک فایل PDF منتشر شد و در Discord منتشر شد. این تیم گفت که “به طور فعال روی یک طرح بازسازی کار می کند.”

در این گزارش، تیم گفت وقتی یکی از بنیانگذاران به دلایل نامعلومی ۵۰۰۰۰ دلار ارز دیجیتال را از کیف پول خود خارج کرد، متوجه شدند که مشکلی پیش آمده است. پس از بررسی، تیم متوجه شد که مهاجمان از ویژگی خود مبادله اپلیکیشن برای جابجایی بیش از ۲ میلیون دلار ارز رمزنگاری شده از کاربرانی که قبلاً به برنامه اجازه انتقال توکن ها را داده بودند، استفاده کرده اند.

ویژگی selfSwap به کاربران این امکان را می‌دهد تا آدرس روتر را مشخص کنند و داده‌های مرتبط با آن را فراخوانی کنند تا یک توکن را با توکن دیگری تعویض کنند. با این حال، لیست روترهای از پیش تأیید شده در کد نوشته نشده بود. به این ترتیب، مهاجمان از این تابع برای هدایت تراکنش‌ها از Dexible به قراردادهای توکن مربوطه استفاده کردند، و توکن‌های کاربران را از کیف پول به قراردادهای هوشمند خود منتقل کردند. این تراکنش های مخرب از Dexible بود، جایی که کاربر قبلاً اجازه استفاده از توکن را داده بود، بنابراین قرارداد توکن تراکنش را مسدود نکرد.

مربوط: اینفلوئنسر NFT قربانی حمله سایبری می شود و بیش از ۳۰۰۰۰۰ دلار در کریپتوپانک از دست می دهد.

مهاجمان پس از دریافت توکن‌ها در قرارداد هوشمند خود، سکه‌ها را از طریق Tornado Cash به کیف پول بایننس کوین (BNB) ناشناخته خارج کردند.

Dexible قراردادها را به حالت تعلیق درآورد و از کاربران خواست تا تأیید توکن را لغو کنند.

رویه رایج تأیید تعداد زیادی تأییدیه توکن می تواند منجر به از دست دادن کاربران ارزهای دیجیتال به دلیل قراردادهای باگ یا مخرب آشکار شود و برخی از کارشناسان به طور معمول تأییدیه ها را لغو می کنند. من به کاربر هشدار می دهم که اکثر صفحات ظاهری برنامه Web3 به کاربران اجازه نمی‌دهند که مستقیماً مقدار توکن‌های مجاز را ویرایش کنند، بنابراین اگر مشخص شود برنامه دارای نقص‌های امنیتی است، کاربر می‌تواند به طور کامل موجودی توکن خود را حذف کند. Metamask و سایر کیف پول‌ها با اجازه دادن به کاربران برای ویرایش تأییدیه‌های توکن در مرحله تأیید کیف پول، سعی در حل این مشکل دارند. با این حال، بسیاری از کاربران کریپتو هنوز از خطرات استفاده نکردن از این ویژگی بی اطلاع هستند.

نویسنده: Tom Blackstone