根据该团队在该项目官方 Discord 服务器上发布的 2 月 17 日事后报告,多链交易所聚合器 DexibleApp 遭到攻击,价值 200 万美元的加密货币因此丢失。
截至 UTC 时间 2 月 17 日下午 6 点 35 分,DexibleApp 前端会在用户导航到它时显示有关黑客攻击的弹出警告。
在世界标准时间早上 6 点 17 分,该团队报告说他们发现了“Dexible v2 合约的潜在黑客攻击”并正在调查该问题。 大约九小时后,他们发布了第二份声明,称他们“现在知道 2,047,635.17 美元从 17 个交易员地址中被利用了。 4 个在主网上,13 个在 arbitrum 上。”
UTC 时间下午 4 点以 pdf 文件形式发布了验尸报告,并在 Discord 上发布,该团队表示“正在积极制定补救计划”。
在报告中,该团队表示,当其创始人之一出于当时未知的原因将价值 50,000 美元的加密货币从他的钱包中移出时,它已经注意到出现了问题。 经过调查,该团队发现攻击者使用该应用程序的 selfSwap 功能从之前授权该应用程序移动其代币的用户那里转移了价值超过 200 万美元的加密货币。
selfSwap 功能允许用户提供路由器的地址和与其关联的调用数据,以将一个令牌交易所为另一个令牌。 但是,代码中没有写入预先批准的路由器列表。 因此,攻击者使用此功能将交易从 Dexible 路由到每个代币合约,将用户的代币从他们的钱包转移到攻击者自己的智能合约中。 由于这些恶意交易来自用户已经授权使用其代币的 Dexible,因此代币合约并未阻止交易。
相关:NFT 影响者成为网络攻击的受害者,损失 30 万美元以上的 CryptoPunks
在将代币接收到他们自己的智能合约中后,攻击者通过 Tornado cash 将代币提取到未知的币安币 (BNB) 钱包中。
Dexible 已暂停其合约,并敦促用户撤销对他们的代币授权。
大量授权代币批准的常见做法有时会由于错误或完全恶意的合约而导致加密货币用户蒙受损失,这导致一些专家警告用户定期撤销批准。 大多数 Web3 应用程序的前端不允许用户直接编辑批准的代币数量,因此如果应用程序被发现存在安全漏洞,用户通常会失去其代币的全部余额。 Metamask 和其他钱包试图通过允许用户在钱包确认步骤编辑代币批准来解决这个问题。 但是许多加密货币用户仍然没有意识到不使用此功能的风险。