تعرض مجمع التبادل متعدد السلاسل Dexible إلى استغلال ، وخسر ما قيمته مليوني دولار من العملات المشفرة نتيجة لذلك ، وفقًا لتقرير ما بعد الوفاة الصادر في 2 فبراير والذي أصدره الفريق على خادم Discord الرسمي للمشروع.
اعتبارًا من الساعة 6:35 مساءً بالتوقيت العالمي المنسق في 17 فبراير ، تعرض الواجهة الأمامية Dexible تحذيرًا منبثقًا حول الاختراق كلما انتقل المستخدمون إليه.
في الساعة 6:17 صباحًا بالتوقيت العالمي المنسق ، أبلغ الفريق أنه اكتشف "اختراقًا محتملاً لعقود Dexible v2" وكان يحقق في المشكلة. بعد حوالي تسع ساعات ، أصدرت بيانًا ثانيًا بأنها تعرف الآن "تم استغلال 2,047,635.17،17،4 دولارًا من 13 عنوان تاجر. XNUMX على mainnet و XNUMX على التحكيم ".
تم إصدار تقرير التشريح في الساعة 4:00 مساءً بالتوقيت العالمي المنسق كملف PDF وتم إصداره على Discord ، وقال الفريق إنه "يعمل بنشاط على خطة علاج".
في التقرير ، ذكر الفريق أنه لاحظ وجود خطأ ما عندما قام أحد مؤسسيه بإخراج عملة مشفرة بقيمة 50,000،2 دولار من محفظته لأسباب لم تكن معروفة في ذلك الوقت. بعد التحقيق ، وجد الفريق أن أحد المهاجمين قد استخدم وظيفة selfSwap للتطبيق لنقل ما يزيد عن XNUMX مليون دولار من العملات المشفرة من المستخدمين الذين سبق لهم أن سمحوا للتطبيق بنقل الرموز الخاصة بهم.
سمحت وظيفة selfSwap للمستخدمين بتوفير عنوان جهاز التوجيه وبيانات الاتصال المرتبطة به لإجراء مبادلة رمز مميز بآخر. ومع ذلك ، لم تكن هناك قائمة بأجهزة التوجيه المعتمدة مسبقًا والمكتوبة في الكود. لذلك ، استخدم المهاجم هذه الوظيفة لتوجيه معاملة من Dexible إلى كل عقد رمزي ، ونقل الرموز المميزة للمستخدمين من محافظهم إلى العقد الذكي الخاص بالمهاجم. نظرًا لأن هذه المعاملات الخبيثة كانت قادمة من Dexible ، والتي سمح المستخدمون لها بالفعل بإنفاق الرموز المميزة الخاصة بهم ، فإن عقود الرمز المميز لم تمنع المعاملات.
هذا الموضوع ذو علاقة بـ: أحد المؤثرين في NFT يقع ضحية للهجوم الإلكتروني ، ويخسر 300 ألف دولار + CryptoPunks
بعد تلقي الرموز في عقده الذكي الخاص به ، قام المهاجم بسحب العملات من خلال Tornado Cash إلى BNB غير معروف (BNB) محافظ.
أوقفت Dexible عقودها مؤقتًا وحثت المستخدمين على إلغاء تراخيص الرمز المميز لهم.
أدت الممارسة الشائعة المتمثلة في تفويض موافقات الرمز المميز لمبالغ كبيرة في بعض الأحيان إلى خسائر لمستخدمي التشفير بسبب وجود أخطاء في العقود أو العقود الخبيثة ، مما دفع بعض الخبراء إلى تحذير المستخدمين إلغاء الموافقات بشكل منتظم. لا تسمح الواجهات الأمامية لمعظم تطبيقات Web3 للمستخدمين مباشرة بتعديل كمية الرموز التي تمت الموافقة عليها ، لذلك غالبًا ما يفقد المستخدمون الرصيد الكامل لرموزهم إذا تبين أن التطبيق به خلل أمني. حاولت MetaMask والمحافظ الأخرى حل هذه المشكلة من خلال السماح للمستخدمين بتحرير موافقات الرمز المميز في خطوة تأكيد المحفظة ، لكن العديد من مستخدمي التشفير لا يزالون غير مدركين لخطر عدم استخدام هذه الميزة.
المصدر: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function