وفقًا لتقرير ما بعد الوفاة الذي نشره الفريق على قناة Discord الرسمية للمشروع في 17 فبراير ، تم اختراق مجمع التبادل متعدد الروابط Dexible من خلال استغلال ، وكنتيجة مباشرة ، تمت سرقة ما قيمته 2 مليون دولار من البيتكوين.
اعتبارًا من 17 فبراير ، الساعة 6:35 مساءً بالتوقيت العالمي المنسق ، تعرض الواجهة الأمامية لـ Dexible تحذيرًا منبثقًا بشأن الاختراق في أي وقت يزوره المستخدمون.
قال الفريق في الساعة 6:17 صباحًا بالتوقيت العالمي المنسق إنه اكتشف "اختراق محتمل لعقود Dexible v2" وكان يبحث في الأمر في ذلك الوقت. وصدر بيان ثان بعد حوالي تسع ساعات ، قيل فيه إن الشركة تعلم الآن أن "2,047,635.17 دولارًا تم استغلالها من 17 عنوانًا تجاريًا". 4 على mainnet و 13 على التحكيم ".
تم تقديم تقرير ما بعد الوفاة كملف PDF في الساعة 4:00 مساءً بالتوقيت العالمي المنسق وإتاحته على Discord. قال الفريق أيضًا إنه "يعمل حاليًا على خطة إصلاح".
ذكرت المنظمة في التقرير أنها أدركت أن شيئًا ما كان خاطئًا عندما كان لدى أحد مؤسسيها أصول تشفير بقيمة 50,000 ألف دولار تم تحويلها من محفظته لأسباب لم تكن واضحة في ذلك الوقت. كانت أسباب هذه الخطوة غير معروفة في ذلك الوقت. بعد التحقيق ، توصل الفريق إلى استنتاج مفاده أن أحد الخصوم قد استخدم ميزة selfSwap للتطبيق لسرقة ما يقرب من مليوني دولار من العملات المشفرة من المستخدمين الذين سبق لهم منح الإذن للبرنامج لنقل الرموز الخاصة بهم.
كان المستخدمون قادرين على إجراء عملية تداول لرمز مميز بآخر باستخدام وظيفة selfSwap ، التي تطلب منهم توفير عنوان جهاز التوجيه وبيانات الاتصال المتصلة به. ومع ذلك ، لم يتضمن الكود قائمة بأجهزة التوجيه التي تمت مراجعتها بالفعل وترخيصها. من أجل نقل الرموز المميزة للمستخدمين من محافظهم إلى العقد الذكي الخاص بالمهاجم ، استخدم المهاجم هذه الطريقة لتوجيه معاملة من Dexible إلى كل عقد رمزي. لم تضع عقود الرموز المميزة حدًا لهذه المعاملات التي يحتمل أن تكون خطرة نظرًا لأنها نشأت من Dexible ، والتي منحها المستخدمون بالفعل الإذن لاستخدام الرموز المميزة الخاصة بهم.
بعد تلقي الرموز في عقده الذكي الخاص به ، قام المهاجم بسحب العملات المعدنية باستخدام Tornado Cash ووضعها في محافظ BNB (BNB) التي لم يكونوا على علم بها.
تم إيقاف تنفيذ عقود Dexible ، وطلبت الشركة من المستخدمين سحب تراخيص الرمز المميز الخاصة بهم لمثل هذه العقود.
يمكن أن تؤدي الممارسة الشائعة المتمثلة في تفويض موافقات الرمز المميز لمبالغ كبيرة في بعض الأحيان إلى خسائر لمستخدمي العملة المشفرة بسبب وجود أخطاء في عربات التي تجرها الدواب أو العقود الخبيثة الصريحة. نتيجة لذلك ، ينصح بعض خبراء الصناعة المستخدمين بإلغاء الموافقات بانتظام لحماية أنفسهم من الضرر المالي المحتمل. نظرًا لأن الواجهات الأمامية لغالبية تطبيقات Web3 لا تسمح للمستخدمين صراحةً بتغيير عدد الرموز الممنوحة ، غالبًا ما يفقد المستخدمون كامل رصيد الرمز المميز الخاص بهم إذا تم اكتشاف أن التطبيق به مشكلة أمنية. بالرغم من MetaMask حاولت محافظ ومحافظ أخرى حل هذه المشكلة من خلال تمكين المستخدمين من تغيير موافقات الرمز المميز أثناء عملية تأكيد المحفظة ، ولا يزال غالبية مستخدمي العملة المشفرة غير مطلعين على العواقب المحتملة لعدم استخدام هذه الوظيفة.
المصدر: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack