De acordo com um relatório post-mortem publicado pela equipe no canal oficial Discord do projeto em 17 de fevereiro, o agregador de troca multichain Dexible foi comprometido por uma exploração e, como consequência direta, $ 2 milhões em bitcoin foram roubados.
A partir de 17 de fevereiro, 6h35 UTC, o front-end do Dexible exibe um aviso pop-up sobre o hack sempre que os usuários o visitam.
A equipe disse às 6h17 UTC que havia encontrado “um possível hack nos contratos Dexible v2” e estava investigando o assunto na época. Uma segunda declaração foi emitida cerca de nove horas depois, na qual dizia que a empresa agora sabia que “$ 2,047,635.17 foram explorados em 17 endereços comerciais”. 4 na mainnet, 13 no arbitrum.”
Um relatório post-mortem foi fornecido como um arquivo PDF às 4:00 UTC e disponibilizado no Discord. A equipe também disse que estava “atualmente trabalhando em um plano de reparo”.
A organização declarou no relatório que percebeu que algo estava errado quando um de seus fundadores transferiu ativos criptográficos no valor de $ 50,000 de sua carteira por motivos que não estavam claros na época. As razões para esta mudança eram desconhecidas na época. Após a investigação, a equipe chegou à conclusão de que um adversário havia utilizado o recurso selfSwap do aplicativo para roubar quase US$ 2 milhões em criptomoedas de usuários que já haviam dado permissão para o programa transferir seus tokens.
Os usuários podiam trocar um token por outro usando a função selfSwap, que exigia que eles fornecessem o endereço de um roteador e os dados de chamada conectados a ele. No entanto, o código não incluía uma lista de roteadores que já haviam sido revisados e autorizados. Para mover os tokens dos usuários de suas carteiras para o contrato inteligente do próprio invasor, o invasor utilizou esse método para rotear uma transação do Dexible para cada contrato de token. Os contratos de token não interromperam essas transações potencialmente perigosas, pois se originaram do Dexible, que os usuários já haviam dado permissão para usar seus tokens.
Depois de receber os tokens em seu próprio contrato inteligente, o invasor retirou as moedas usando o Tornado Cash e as colocou em carteiras BNB (BNB) que desconhecia.
A execução dos contratos da Dexible foi interrompida e a empresa solicitou que os usuários retirassem suas autorizações de token para tais contratos.
A prática comum de autorizar aprovações de token para grandes quantias às vezes pode levar a perdas para usuários de criptomoedas devido a contratos mal-intencionados ou totalmente maliciosos. Como resultado, alguns especialistas do setor aconselham os usuários a revogar regularmente as aprovações para se protegerem de possíveis danos financeiros. Como os front-ends da maioria dos aplicativos Web3 não permitem explicitamente que os usuários alterem o número de tokens concedidos, os usuários geralmente perdem todo o saldo de tokens se descobrirem que um aplicativo tem um problema de segurança. Embora MetaMask e outras carteiras tentaram resolver esse problema permitindo que os usuários alterassem as aprovações de token durante o processo de confirmação da carteira, a maioria dos usuários de criptomoeda ainda não está informada sobre as possíveis consequências de não usar essa função.
Fonte: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack