เทคโนโลยี

ผู้รวบรวม Dexible ถูกแฮ็กด้วยเงิน 2 ล้านดอลลาร์ผ่านฟังก์ชัน 'selfSwap'

02/19/2023
ข่าว Bitcoin Ethereum

Dexible ผู้รวบรวมการแลกเปลี่ยนแบบหลายเชนถูกโจมตีโดยช่องโหว่ และผลที่ตามมาคือมูลค่า 2 ล้านดอลลาร์ของสกุลเงินดิจิทัลหายไป ตามรายงานหลังชันสูตรเมื่อวันที่ 17 ก.พ. ที่เผยแพร่โดยทีมงานบนเซิร์ฟเวอร์ Discord อย่างเป็นทางการของโครงการ

ณ เวลา 6:35 น. UTC ของวันที่ 17 กุมภาพันธ์ ส่วนหน้าของ Dexible จะแสดงป๊อปอัปคำเตือนเกี่ยวกับการแฮ็กเมื่อใดก็ตามที่ผู้ใช้เข้าไปที่ส่วนดังกล่าว

เมื่อเวลา 6:17 น. UTC ทีมงานรายงานว่าได้ค้นพบ “การแฮ็กที่อาจเกิดขึ้นกับสัญญา Dexible v2” และกำลังตรวจสอบปัญหานี้ ประมาณเก้าชั่วโมงต่อมา บริษัทได้ออกแถลงการณ์ฉบับที่ 2,047,635.17 ซึ่งขณะนี้ทราบแล้วว่า “เงิน 17 เหรียญสหรัฐถูกฉวยโอกาสจากที่อยู่ผู้ค้า 4 แห่ง 13 บน mainnet, XNUMX บนอนุญาโตตุลาการ”

ภาพ

มีการเผยแพร่รายงานชันสูตรศพเมื่อเวลา 4:00 น. UTC เป็นไฟล์ PDF และเผยแพร่บน Discord และทีมงานกล่าวว่า "กำลังดำเนินการตามแผนการแก้ไขอย่างแข็งขัน"

ในรายงาน ทีมงานระบุว่าสังเกตเห็นว่ามีบางอย่างผิดปกติเมื่อหนึ่งในผู้ก่อตั้งได้ย้าย crypto มูลค่า $50,000 ออกจากกระเป๋าเงินของเขาโดยไม่ทราบสาเหตุในขณะนั้น หลังจากการสืบสวน ทีมงานพบว่าผู้โจมตีใช้ฟังก์ชัน selfSwap ของแอปเพื่อย้าย crypto มูลค่ากว่า 2 ล้านดอลลาร์จากผู้ใช้ที่เคยอนุญาตให้แอปย้ายโทเค็น

ฟังก์ชัน selfSwap ช่วยให้ผู้ใช้สามารถระบุที่อยู่ของเราเตอร์และข้อมูลการโทรที่เกี่ยวข้องเพื่อทำการแลกเปลี่ยนโทเค็นหนึ่งกับอีกโทเค็น อย่างไรก็ตาม ไม่มีรายการเราเตอร์ที่ได้รับการอนุมัติล่วงหน้าเขียนลงในรหัส ดังนั้น ผู้โจมตีจึงใช้ฟังก์ชันนี้เพื่อกำหนดเส้นทางธุรกรรมจาก Dexible ไปยังสัญญาโทเค็นแต่ละสัญญา ย้ายโทเค็นของผู้ใช้จากกระเป๋าเงินไปยังสัญญาอัจฉริยะของผู้โจมตี เนื่องจากธุรกรรมที่เป็นอันตรายเหล่านี้มาจาก Dexible ซึ่งผู้ใช้ได้อนุญาตให้ใช้โทเค็นของตนแล้ว สัญญาโทเค็นจึงไม่บล็อกธุรกรรม

ที่เกี่ยวข้อง ผู้มีอิทธิพลทาง NFT ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ สูญเสีย $300K+ CryptoPunks

หลังจากได้รับโทเค็นในสัญญาอัจฉริยะของตนเอง ผู้โจมตีได้ถอนเหรียญผ่าน Tornado Cash เป็น BNB ที่ไม่รู้จัก (BNB) กระเป๋าสตางค์.

Dexible ได้หยุดสัญญาชั่วคราวและกระตุ้นให้ผู้ใช้ยกเลิกการอนุญาตโทเค็นสำหรับพวกเขา

แนวทางปฏิบัติทั่วไปในการอนุญาตการอนุมัติโทเค็นในปริมาณมาก บางครั้งนำไปสู่การสูญเสียสำหรับผู้ใช้ crypto เนื่องจากข้อผิดพลาดหรือสัญญาที่เป็นอันตรายโดยสิ้นเชิง ทำให้ผู้เชี่ยวชาญบางคนเตือนผู้ใช้ เพิกถอนการอนุมัติเป็นประจำ. ส่วนหน้าสำหรับแอป Web3 ส่วนใหญ่ไม่อนุญาตให้ผู้ใช้แก้ไขจำนวนโทเค็นที่อนุมัติโดยตรง ดังนั้นผู้ใช้มักจะสูญเสียโทเค็นทั้งหมดหากพบว่าแอปมีข้อบกพร่องด้านความปลอดภัย MetaMask และกระเป๋าเงินอื่น ๆ ได้พยายามแก้ไขปัญหานี้โดยอนุญาตให้ผู้ใช้แก้ไขการอนุมัติโทเค็นในขั้นตอนการยืนยันกระเป๋าเงิน แต่ผู้ใช้ crypto จำนวนมากยังคงไม่ทราบถึงความเสี่ยงที่จะไม่ใช้คุณสมบัตินี้