Олон гинжний солилцооны агрегатор Dexible мөлжлөгт өртөж, үүний улмаас 2 сая долларын үнэ бүхий криптовалют алдагдсан гэж тус багийн 17-р сарын XNUMX-нд төслийн албан ёсны Discord сервер дээр нийтэлсэн үхлийн дараах тайланд дурджээ.
6-р сарын 35-ны UTC 17:XNUMX цагийн байдлаар, Dexible урд хэсэг нь хэрэглэгчид хакердах бүртээ хакердсан тухай анхааруулга гарч ирдэг.
UTC өглөөний 6:17 цагт багийнхан "Dexible v2 гэрээнүүдийг хакердаж магадгүй" гэж мэдээлсэн бөгөөд уг асуудлыг судалж байна. Ойролцоогоор есөн цагийн дараа тэрээр "2,047,635.17 худалдааны хаягаас 17 доллар ашигласан болохыг мэдэж байгаа" гэсэн хоёр дахь мэдэгдлийг гаргасан. Үндсэн сүлжээнд 4, арбитр дээр 13.”
Үдээс хойшхи 4:00 цагт UTC-ийн оройн XNUMX:XNUMX цагт үхлийн дараах дүгнэлтийг PDF файл хэлбэрээр гаргаж, Discord дээр гаргасан бөгөөд багийнхан "засах төлөвлөгөөн дээр идэвхтэй ажиллаж байна" гэж мэдэгдэв.
Уг тайланд тус баг үүсгэн байгуулагчдынх нь нэг нь тухайн үед тодорхойгүй шалтгаанаар түрийвчнээсээ 50,000 долларын үнэтэй криптог гаргах үед ямар нэг зүйл буруу болсныг анзаарсан гэж тус баг мэдэгджээ. Мөрдөн байцаалтын дараа багийнхан халдагчид апп-ын selfSwap функцийг ашиглан өмнө нь жетоноо зөөх зөвшөөрөл авсан хэрэглэгчдийн 2 сая гаруй долларын үнэ бүхий криптог зөөвөрлөсөн болохыг илрүүлжээ.
SelfSwap функц нь хэрэглэгчдэд чиглүүлэгчийн хаяг болон түүнтэй холбоотой дуудлагын өгөгдлийг өгөх боломжийг олгож, нэг жетоныг нөгөөгөөр солих боломжийг олгосон. Гэсэн хэдий ч кодонд урьдчилан батлагдсан чиглүүлэгчдийн жагсаалт байхгүй байсан. Тиймээс халдагчид энэ функцийг ашиглан Dexible-ээс токен гэрээ бүр рүү гүйлгээг чиглүүлж, хэрэглэгчдийн жетоныг түрийвчнээсээ халдагчийн өөрийн ухаалаг гэрээ рүү шилжүүлсэн. Эдгээр хортой гүйлгээ нь хэрэглэгчид жетоноо зарцуулахыг аль хэдийн зөвшөөрсөн Dexible-ээс ирж байсан тул жетон гэрээ нь гүйлгээг хаагаагүй.
Холбогдох: NFT нөлөөлөгч кибер довтолгоонд өртөж, $300K+ CryptoPunks-аа алджээ
Токенуудыг өөрсдийн ухаалаг гэрээнд авсны дараа халдагч Торнадо Кэшээр дамжуулан зоосыг үл мэдэгдэх BNB руу татсан.BNB) түрийвч.
Dexible нь гэрээгээ түр зогсоож, хэрэглэгчдэдээ токен зөвшөөрлийг цуцлахыг уриалав.
Их хэмжээний токен зөвшөөрлийг олгодог нийтлэг практик нь заримдаа алдаатай эсвэл шууд хорлонтой гэрээний улмаас криптовалютын хэрэглэгчдэд алдагдалд хүргэж, зарим мэргэжилтнүүд хэрэглэгчдэд анхааруулахад хүргэдэг. зөвшөөрлийг тогтмол хүчингүй болгох. Ихэнх Web3 програмын нүүрэн тал нь хэрэглэгчдэд зөвшөөрөгдсөн жетоны хэмжээг шууд өөрчлөхийг зөвшөөрдөггүй тул хэрэглэгчид тухайн програмд аюулгүй байдлын алдаа гарсан тохиолдолд токенуудын үлдэгдлийг бүрэн алдах тохиолдол гардаг. MetaMask болон бусад түрийвчнүүд нь хэрэглэгчдэд түрийвчээ баталгаажуулах алхам дээр токен зөвшөөрлийг засварлах замаар энэ асуудлыг засахыг оролдсон боловч олон крипто хэрэглэгчид энэ функцийг ашиглахгүй байх эрсдэлийг мэдэхгүй хэвээр байна.
Эх сурвалж: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function