根據團隊2月份在項目官方Discord頻道發布的事後報告17 日,多鏈交易所聚合器 Dexible 遭到攻擊,直接後果是價值 200 萬美元的比特幣被盜。
截至 UTC 時間 2 月 17 日下午 6:35,Dexible 的前端顯示關於任何時候用戶訪問它的黑客攻擊。
該團隊在世界標準時間上午 6:17 表示,他們發現“Dexible v2 合約可能存在黑客攻擊“並且當時正在調查此事。大約九小時後發布了第二份聲明,據說該公司現在知道“17 個交易地址中的 2,047,635.17 美元被利用了”。 4 個在主網上,13 個在 arbitrum 上。”
在世界標準時間下午 4:00 以 PDF 文件形式提供了驗屍報告,並可在不和諧。該團隊還表示,“目前正在製定修復計劃。”
該組織在報告中表示,當其創始人之一擁有加密貨幣時,它意識到有些不對勁出於當時尚不清楚的原因,價值 50,000 美元的資產從他的錢包中轉出。此舉的原因當時不為人知。經過調查,該團隊得出結論,對手利用該應用程序的 selfSwap 功能從用戶那裡竊取了價值近 200 萬美元的加密貨幣,這些用戶之前已允許該程序轉移他們的代幣。
用戶可以使用 selfSwap 功能將一種代幣換成另一種代幣,這需要他們提供路由器的地址和與其連接的呼叫數據。但是,該代碼不包括已經審查和授權的路由器列表。為了將用戶的代幣從他們的錢包轉移到攻擊者自己的智能合約中,攻擊者利用這種方法將交易從 Dexible 路由到每個代幣合約。代幣合約並沒有阻止這些潛在的危險交易,因為它們起源於 Dexible,用戶已經允許使用他們的代幣。
在將代幣接收到自己的智能合約中後,攻擊者使用 Tornado Cash 提取代幣並將其放置在他們不知道的 BNB (BNB) 錢包中。
Dexible 的合約已停止執行,公司已要求用戶撤回其代幣授權此類合同。
大額授權代幣審批的常見做法有時會因為漏洞導致加密貨幣用戶蒙受損失或徹頭徹尾的惡意合同。因此,一些行業專家建議用戶定期撤銷批准,以保護自己免受潛在的經濟損失。由於大多數 Web3 應用程序的前端並未明確讓用戶更改授予的令牌數量,因此如果發現應用程序存在安全問題,用戶通常會失去其全部令牌餘額。雖然 MetaMask 和其他錢包試圖通過允許用戶在錢包確認過程中更改令牌批准來解決這個問題,大多數加密貨幣用戶仍然不知道不使用此功能的潛在後果.