Aggregator DexibleApp به قیمت 2 میلیون دلار از طریق عملکرد “selfSwap” هک شد

هدف از عملکرد باگ این بود که به کاربران اجازه دهد اطلاعات مسیریابی خود را ارائه دهند، اما این کد روترها را به یک لیست از پیش تأیید شده محدود نمی کرد.

بر اساس گزارش کالبد شکافی مورخ 17 فوریه که توسط تیم در سرور رسمی Discord این پروژه ارسال شد، ادغام کننده صرافی چند زنجیره ای DexibleApp با آسیب پذیری مواجه شد و در نتیجه 2 میلیون دلار ارز دیجیتال از دست رفت.

از تاریخ 17 فوریه، ساعت 18:35 UTC، صفحه اصلی DexibleApp هر بار که کاربران به آن حمله می‌کنند، یک پنجره هشدار درباره حمله نشان می‌دهد.

تیم در ساعت 06:17 UTC گزارش داد که یک “هک احتمالی در قراردادهای Dexible v2” کشف کرده و در حال بررسی این موضوع هستند. حدود 9 ساعت بعد، آنها بیانیه دومی را منتشر کردند که “اکنون می دانند که 2,047,635.17 دلار از 17 آدرس تجاری استفاده شده است.” 4 در شبکه اصلی، 13 در داوری.

گزارش کالبد شکافی به صورت فایل pdf در ساعت 16:00 UTC منتشر شد و در Discord پست شد و تیم گفت که “به طور فعال روی یک طرح اصلاح کار می کند.”

در این گزارش، تیم اعلام کرد که وقتی یکی از بنیان‌گذاران آنها به دلایل نامعلومی 50000 دلار ارزهای دیجیتال را از کیف پول خود حذف کرد، متوجه شدند که مشکلی وجود دارد. پس از بررسی، تیم متوجه شد که یک مهاجم از عملکرد selfSwap اپلیکیشن برای انتقال بیش از 2 میلیون دلار ارز رمزنگاری شده از کاربرانی که قبلاً به برنامه اجازه مهاجرت توکن‌های خود را داده بودند، استفاده کرده است.

عملکرد SelfSwap به کاربران اجازه می‌دهد تا با ارائه آدرس روتر و داده‌های تماس مرتبط، یک توکن را با دیگری مبادله کنند. با این حال، هیچ لیستی از روترهای از پیش تأیید شده در کد نوشته نشده بود. مهاجم از این قابلیت برای هدایت یک تراکنش از Dexible به هر قرارداد توکن استفاده کرد و توکن های کاربران را از کیف پول آنها به قرارداد هوشمند خود مهاجم منتقل کرد. از آنجایی که این تراکنش‌های مخرب از Dexible، که کاربران قبلاً مجاز به خرج کردن توکن‌های خود بودند، انجام می‌شد، قراردادهای توکن تراکنش‌ها را مسدود نمی‌کردند.

مرتبط با: اینفلوئنسر NFT قربانی حمله سایبری شد و بیش از 300000 دلار کریپتوپانک از دست داد

پس از اینکه مهاجم توکن‌ها را در قرارداد هوشمند خود قرار داد، توکن‌ها را از طریق نقدینگی تورنادو به کیف پول‌های بایننس کوین (BNB) ناشناخته برداشت.

Dexible قراردادهای خود را متوقف کرد و از کاربران خواست تا مجوزهای توکن را برای آنها لغو کنند.

رویه متداول مجاز کردن تاییدیه‌های رمزی برای مقادیر زیاد، گاهی اوقات منجر به ضرر کاربران رمزارز به دلیل قراردادهای مخرب یا معیوب می‌شود، که باعث می‌شود برخی از کارشناسان به کاربران هشدار دهند که تأییدیه‌ها را به طور منظم لغو کنند. قسمت جلویی اکثر برنامه‌های کاربردی Web3 به کاربران اجازه نمی‌دهد که مستقیماً مقدار توکن‌های تأیید شده را ویرایش کنند، بنابراین اگر یک برنامه آسیب‌پذیری امنیتی را آشکار کند، کاربران اغلب تعادل کامل توکن‌های خود را از دست می‌دهند. Metamask و سایر کیف پول‌ها سعی کرده‌اند با اجازه دادن به کاربران برای ویرایش تاییدیه‌های رمز در مرحله تایید کیف پول، این مشکل را برطرف کنند. با این حال، بسیاری از کاربران کریپتو هنوز از خطرات استفاده نکردن از این ویژگی بی اطلاع هستند.

نویسنده: Tom Blackstone