ตามรายงานชันสูตรที่เผยแพร่โดยทีมงานในช่อง Discord อย่างเป็นทางการของโครงการเมื่อวันที่ 17 กุมภาพันธ์ Dexible ผู้รวบรวมการแลกเปลี่ยนแบบหลายเชนถูกโจมตีจากการแสวงประโยชน์ และผลที่ตามมาก็คือ Bitcoin มูลค่า 2 ล้านดอลลาร์ถูกขโมยไป
ณ วันที่ 17 กุมภาพันธ์ 6:35 น. UTC ส่วนหน้าของ Dexible จะแสดงคำเตือนป๊อปอัปเกี่ยวกับการแฮ็กทุกครั้งที่ผู้ใช้เยี่ยมชม
ทีมงานกล่าวเมื่อเวลา 6:17 น. UTC ว่าพบ "การแฮ็กสัญญา Dexible v2 ที่เป็นไปได้" และกำลังตรวจสอบเรื่องนี้ในเวลานั้น แถลงการณ์ฉบับที่ 2,047,635.17 ได้รับการเผยแพร่ในเวลาประมาณ 17 ชั่วโมงต่อมา ซึ่งกล่าวกันว่าขณะนี้บริษัททราบแล้วว่า “เงิน 4 ดอลลาร์ถูกใช้ประโยชน์จากที่อยู่ซื้อขาย 13 แห่ง” XNUMX บน mainnet, XNUMX บนอนุญาโตตุลาการ”
รายงานชันสูตรพลิกศพมีให้ในรูปแบบไฟล์ PDF เวลา 4:00 น. UTC และเผยแพร่บน Discord ทีมงานยังกล่าวอีกว่า "กำลังดำเนินการตามแผนการซ่อมแซม"
องค์กรระบุในรายงานว่าเริ่มตระหนักว่ามีบางอย่างผิดปกติเมื่อหนึ่งในผู้ก่อตั้งได้โอนสินทรัพย์ crypto มูลค่า $50,000 ออกจากกระเป๋าเงินของเขาด้วยเหตุผลที่ไม่ชัดเจนในเวลานั้น เหตุผลของการย้ายครั้งนี้ไม่เป็นที่รู้จักในเวลานั้น หลังจากการสืบสวน ทีมงานได้ข้อสรุปว่าฝ่ายตรงข้ามใช้ฟีเจอร์ selfSwap ของแอปเพื่อขโมยเงินดิจิทัลมูลค่าเกือบ 2 ล้านดอลลาร์จากผู้ใช้ที่เคยให้สิทธิ์แก่โปรแกรมในการโอนโทเค็นของตน
ผู้ใช้สามารถแลกเปลี่ยนโทเค็นหนึ่งกับอีกโทเค็นได้โดยใช้ฟังก์ชัน selfSwap ซึ่งกำหนดให้ผู้ใช้ระบุที่อยู่ของเราเตอร์และข้อมูลการโทรที่เชื่อมต่อด้วย อย่างไรก็ตาม รหัสไม่ได้รวมรายการเราเตอร์ที่ได้รับการตรวจสอบและอนุญาตแล้ว ในการย้ายโทเค็นของผู้ใช้จากกระเป๋าเงินไปยังสัญญาอัจฉริยะของผู้โจมตี ผู้โจมตีใช้วิธีนี้เพื่อกำหนดเส้นทางธุรกรรมจาก Dexible ไปยังสัญญาโทเค็นแต่ละรายการ สัญญาโทเค็นไม่ได้หยุดธุรกรรมที่อาจเป็นอันตรายเหล่านี้ เนื่องจากเกิดขึ้นจาก Dexible ซึ่งผู้ใช้ได้อนุญาตให้ใช้โทเค็นของตนแล้ว
หลังจากได้รับโทเค็นในสัญญาอัจฉริยะของตนเอง ผู้โจมตีถอนเหรียญโดยใช้ Tornado Cash และใส่ไว้ในกระเป๋าเงิน BNB (BNB) ที่พวกเขาไม่ทราบ
การดำเนินการตามสัญญาของ Dexible ถูกระงับ และบริษัทได้ขอให้ผู้ใช้ถอนการอนุญาตโทเค็นสำหรับสัญญาดังกล่าว
แนวทางปฏิบัติทั่วไปในการอนุญาตการอนุมัติโทเค็นในปริมาณมาก บางครั้งอาจนำไปสู่การสูญเสียสำหรับผู้ใช้ cryptocurrency เนื่องจากข้อผิดพลาดหรือสัญญาที่เป็นอันตรายโดยสิ้นเชิง ด้วยเหตุนี้ ผู้เชี่ยวชาญในอุตสาหกรรมบางรายจึงแนะนำให้ผู้ใช้เพิกถอนการอนุมัติอย่างสม่ำเสมอ เพื่อป้องกันตนเองจากอันตรายทางการเงินที่อาจเกิดขึ้น เนื่องจากส่วนหน้าของแอปพลิเคชัน Web3 ส่วนใหญ่ไม่อนุญาตให้ผู้ใช้แก้ไขจำนวนโทเค็นที่อนุญาตอย่างชัดเจน ผู้ใช้มักจะสูญเสียยอดโทเค็นทั้งหมดหากพบว่าแอปมีปัญหาด้านความปลอดภัย แม้ว่า MetaMask และกระเป๋าเงินอื่น ๆ ได้พยายามแก้ไขปัญหานี้โดยให้ผู้ใช้แก้ไขการอนุมัติโทเค็นในระหว่างกระบวนการยืนยันกระเป๋าเงิน ผู้ใช้ cryptocurrency ส่วนใหญ่ยังคงไม่ทราบถึงผลที่ตามมาของการไม่ใช้ฟังก์ชันนี้
ที่มา: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack