Laut einem Post-Mortem-Bericht, der am 17. Februar vom Team auf dem offiziellen Discord-Kanal des Projekts veröffentlicht wurde, wurde der Multichain-Börsenaggregator Dexible durch einen Exploit kompromittiert, und als direkte Folge davon wurden Bitcoins im Wert von 2 Millionen Dollar gestohlen.
Ab dem 17. Februar, 6:35 Uhr UTC, zeigt das Frontend von Dexible bei jedem Besuch durch Benutzer eine Popup-Warnung über den Hack an.
Das Team sagte um 6:17 Uhr UTC, dass es „einen möglichen Hack auf Dexible v2-Verträge“ gefunden habe und die Angelegenheit zu diesem Zeitpunkt untersuche. Etwa neun Stunden später wurde eine zweite Erklärung veröffentlicht, in der es hieß, das Unternehmen wisse nun, dass „2,047,635.17 $ von 17 Handelsadressen ausgebeutet wurden“. 4 im Mainnet, 13 im Arbitrum.“
Ein Post-Mortem-Bericht wurde um 4:00 Uhr UTC als PDF-Datei bereitgestellt und auf Discord verfügbar gemacht. Das Team sagte auch, dass es „derzeit an einem Reparaturplan arbeite“.
Die Organisation gab in dem Bericht an, dass ihr bewusst wurde, dass etwas nicht stimmte, als einer ihrer Gründer aus damals unklaren Gründen Krypto-Assets im Wert von 50,000 US-Dollar aus seiner Brieftasche transferieren ließ. Die Gründe für diesen Schritt waren damals unbekannt. Nach ihrer Untersuchung kam das Team zu dem Schluss, dass ein Gegner die SelfSwap-Funktion der App genutzt hatte, um Kryptowährungen im Wert von fast 2 Millionen US-Dollar von Benutzern zu stehlen, die dem Programm zuvor die Erlaubnis erteilt hatten, ihre Token zu übertragen.
Benutzer konnten einen Token gegen einen anderen tauschen, indem sie die SelfSwap-Funktion nutzten, bei der sie die Adresse eines Routers und die damit verbundenen Verbindungsdaten angeben mussten. Der Code enthielt jedoch keine Liste von Routern, die bereits überprüft und autorisiert wurden. Um die Token der Benutzer aus ihren Wallets in den eigenen Smart Contract des Angreifers zu verschieben, nutzte der Angreifer diese Methode, um eine Transaktion von Dexible zu jedem Token-Contract zu leiten. Token-Verträge haben diese potenziell gefährlichen Transaktionen nicht gestoppt, da sie von Dexible stammten, dem die Benutzer bereits die Erlaubnis zur Verwendung ihrer Token erteilt hatten.
Nachdem der Angreifer die Token in seinen eigenen Smart Contract aufgenommen hatte, zog er die Coins mit Tornado Cash ab und steckte sie in BNB (BNB)-Geldbörsen, von denen er nichts wusste.
Die Ausführung der Verträge von Dexible wurde gestoppt, und das Unternehmen hat die Benutzer aufgefordert, ihre Token-Autorisierungen für solche Verträge zurückzuziehen.
Die gängige Praxis, Token-Genehmigungen für große Beträge zu autorisieren, kann manchmal zu Verlusten für Kryptowährungsbenutzer aufgrund von fehlerhaften oder völlig böswilligen Verträgen führen. Aus diesem Grund raten einige Branchenexperten den Benutzern, Genehmigungen regelmäßig zu widerrufen, um sich vor potenziellen finanziellen Schäden zu schützen. Da die Frontends der meisten Web3-Anwendungen Benutzern nicht explizit erlauben, die Anzahl der gewährten Token zu ändern, verlieren Benutzer häufig ihr gesamtes Token-Guthaben, wenn festgestellt wird, dass eine App ein Sicherheitsproblem aufweist. Obwohl MetaMask und andere Wallets versucht haben, dieses Problem zu lösen, indem sie es Benutzern ermöglichen, Token-Genehmigungen während des Wallet-Bestätigungsprozesses zu ändern, ist die Mehrheit der Kryptowährungsbenutzer immer noch nicht über die möglichen Folgen der Nichtnutzung dieser Funktion informiert.
Quelle: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack