- Um aviso pop-up sobre o ataque foi mostrado no front-end do Dexible.
- Um dos fundadores teve 50,000 USD em criptomoeda misteriosamente removidos.
De acordo com um relatório post-mortem publicado pelo Dexível equipe no canal Discord oficial do projeto em 17 de fevereiro. O agregador de troca multichain foi violado, resultando na perda de $ 2 milhões em criptomoedas. A partir das 6h35 UTC de 17 de fevereiro, um aviso pop-up sobre o ataque foi exibido no front-end do Dexible.
Eles anunciaram a descoberta de um possível hack nos contratos Dexible v2 às 6h17 UTC. E disseram que estavam investigando. Depois de esperar cerca de nove horas, emitiu um segundo comunicado dizendo: “$ 2,047,635.17 foram explorados de 17 endereços de comerciantes. 4 na rede principal, 13 na arbitragem.” Além disso, por volta das 4:00 UTC, um arquivo PDF detalhando o incidente foi carregado no Discord. E a equipe disse que estava trabalhando em uma estratégia de remediação.
Exploração da Função SelfSwap
Além disso, de acordo com o relatório, a tripulação sabia que algo estava errado. Quando um dos fundadores teve 50,000 USD em criptomoeda misteriosamente removidos de sua carteira. Os pesquisadores descobriram que um invasor transferiu mais de US$ 2 milhões em criptomoedas de usuários que habilitaram o aplicativo a mover seus tokens usando o recurso selfSwap.
Além disso, os tokens podem ser trocados com o uso da função selfSwap inserindo o token desejado e o endereço do roteador ou dados de chamada. Ao contrário, o código não forneceu uma lista de roteadores validados.
O invasor então explorou esse recurso para enviar uma transação do Dexible para cada contrato de token, transferindo tokens das carteiras dos usuários para o próprio contrato inteligente do invasor. Os contratos de token não impediram essas transações ilícitas, pois se originaram do Dexible, que os clientes já haviam aprovado para gastos com token.
Recomendado para você:
Protocolo DeFi dForce explorado em US$ 3.65 milhões por hacker
Fonte: https://thenewscrypto.com/dex-aggregator-dexible-exploited-of-2-million-in-recent-hack/