Փետրվարի 17-ին նախագծի պաշտոնական Discord ալիքում թիմի կողմից հրապարակված հետմահու զեկույցի համաձայն, Dexible-ի բազմաշղթա փոխանակման ագրեգատորը վտանգվել է շահագործման արդյունքում, և որպես ուղղակի հետևանք՝ գողացվել է 2 միլիոն դոլար արժողությամբ բիթքոյն:
Փետրվարի 17-ի, ժամը 6:35 UTC-ի դրությամբ, Dexible-ի ճակատային մասում ցուցադրվում է թռուցիկ նախազգուշացում հարձակման մասին, երբ օգտատերերն այցելեն այն:
Թիմը հայտնել է UTC-ի առավոտյան 6:17-ին, որ հայտնաբերել է «հնարավոր հաքեր Dexible v2 պայմանագրերում» և այդ պահին ուսումնասիրում է հարցը: Մոտ ինը ժամ անց հրապարակվեց երկրորդ հայտարարությունը, որում ասվում էր, որ ընկերությունն այժմ գիտի, որ «2,047,635.17 դոլար շահագործվել է 17 առևտրային հասցեներից»: 4 մայրցանցում, 13-ը՝ արբիտրումի վրա»։
Հետմահու զեկույցը տրամադրվել է որպես PDF ֆայլ ժամը 4:00 UTC-ին և հասանելի է դարձել Discord-ում: Թիմը նաև ասաց, որ «ներկայումս աշխատում է վերանորոգման պլանի վրա»:
Կազմակերպությունը զեկույցում նշել է, որ հայտնի է դարձել, որ ինչ-որ բան այն չէ, երբ իր հիմնադիրներից մեկի դրամապանակից 50,000 դոլար արժողությամբ կրիպտո ակտիվներ են փոխանցվել այն ժամանակ անհասկանալի պատճառներով: Այս տեղափոխության պատճառներն այն ժամանակ անհայտ էին: Հետաքննությունից հետո թիմը եկել է այն եզրակացության, որ հակառակորդն օգտագործել է հավելվածի selfSwap հատկությունը՝ գրեթե 2 միլիոն դոլար արժողությամբ կրիպտոարժույթ գողանալու համար այն օգտատերերից, ովքեր նախկինում թույլտվություն են տվել ծրագրին փոխանցել իրենց նշանները:
Օգտատերերը կարողացան փոխանակել մեկ նշանը մյուսի հետ՝ օգտագործելով selfSwap ֆունկցիան, որը նրանցից պահանջում էր տրամադրել երթուղիչի հասցեն և դրա հետ կապված զանգերի տվյալները: Այնուամենայնիվ, ծածկագիրը չէր ներառում երթուղիչների ցանկը, որոնք արդեն վերանայվել և լիազորված էին: Օգտատերերի թոքեններն իրենց դրամապանակից հարձակվողի սեփական խելացի պայմանագրի մեջ տեղափոխելու համար հարձակվողն օգտագործել է այս մեթոդը՝ Dexible-ից գործարքը դեպի յուրաքանչյուր նշանային պայմանագիր ուղղելու համար: Token պայմանագրերը չեն կանգնեցրել այս պոտենցիալ վտանգավոր գործարքներին, քանի որ դրանք ծագել են Dexible-ից, որին օգտվողներն արդեն թույլտվություն են տվել օգտագործել իրենց նշանները:
Նշաններն իրենց խելացի պայմանագրում ստանալուց հետո հարձակվողը հանել է մետաղադրամները Tornado Cash-ի միջոցով և տեղադրել դրանք BNB (BNB) դրամապանակներում, որոնց մասին իրենք տեղյակ չեն եղել:
Dexible-ի պայմանագրերի կատարումը դադարեցվել է, և ընկերությունը խնդրել է օգտատերերին հետ կանչել նման պայմանագրերի իրենց խորհրդանշական թույլտվությունները:
Խոշոր գումարների համար նշանների հաստատման թույլտվության տարածված պրակտիկան երբեմն կարող է կրիպտոարժույթի օգտագործողների համար հանգեցնել կորուստների՝ խելագարված կամ բացահայտ վնասակար պայմանագրերի պատճառով: Արդյունքում, ոլորտի որոշ փորձագետներ օգտատերերին խորհուրդ են տալիս պարբերաբար չեղարկել հաստատումները՝ հնարավոր ֆինանսական վնասներից պաշտպանվելու համար: Քանի որ Web3 հավելվածների մեծամասնության առջևի ծայրերը բացահայտորեն թույլ չեն տալիս օգտվողներին փոխել տրված նշանների քանակը, օգտվողները հաճախ կորցնում են իրենց նշանների մնացորդը, եթե պարզվում է, որ հավելվածն ունի անվտանգության խնդիր: Չնայած նրան MetaMask- ը և այլ դրամապանակներ փորձել են լուծել այս խնդիրը՝ օգտատերերին հնարավորություն տալով փոխել նշանների հաստատումները դրամապանակի հաստատման գործընթացում, կրիպտոարժույթի օգտատերերի մեծամասնությունը դեռ տեղյակ չէ այս ֆունկցիան չօգտագործելու հնարավոր հետևանքների մասին:
Աղբյուրը՝ https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack