Klíčové body:
Zneužití ovlivnilo agregátor víceřetězcových burz Dexible a v důsledku toho došlo ke ztrátě kryptoměn v hodnotě 2 milionů dolarů.
Několik velryb představovalo přibližně 85 % ztrát, pokračovala studie.
Data blockchainu odhalují, že jednou z obětí byla BlockTower Capital, společnost investující do digitálních aktiv.
Na začátku pátku se decentralizovaný burzovní agregátor Dexible stal obětí hacku za 2 miliony dolarů, podle oznámení, které protokol aktualizoval na svém kanálu Discord.
Rozhraní Dexible zobrazuje vyskakovací okno s varováním o zranitelnosti, kdykoli je uživatelé navštíví, od 17:35 UTC.
Podle tweetu od Dexible byl hacker schopen vyčerpat aktiva z kryptoměnových peněženek obsahujících prostředky, které byly autorizovány k použití, a to využitím chyby v kódu inteligentní smlouvy.
Vážená komunito Dexible, s politováním vám musíme oznámit, že v časných ranních hodinách 17. února hacker zneužil zranitelnost v naší nejnovější smart smlouvě. To umožnilo hackerovi ukrást finanční prostředky z jakékoli peněženky, která měla schválení smlouvy o nevyčerpané útratě. 1/5
— Dexible (@DexibleApp) 17. února 2023
Tým oznámil, že v 6:17 UTC našel možný hack na kontraktech Dexible v2 a celou záležitost prošetřuje. O devět hodin později poslalo druhé prohlášení, že nyní zná 2 047 635 dolarů. Několik velryb představovalo přibližně 85 % ztrát, pokračovala studie.
Podle zprávy Dexible útok zasáhl 13 peněženek Arbitrum a 5 peněženek Ethereum. Tyto peněženky byly plně vytěženy.
Kolem 16:00 UTC byla posmrtná zpráva zveřejněna jako soubor PDF a zpřístupněna na Discordu. Tým také uvedl, že v současné době pracuje na plánu nápravy.
Tým v novinách tvrdí, že se o problému dozvěděl poté, co jeden z jeho zakladatelů nechal z nejasných důvodů ze své peněženky odstranit kryptoměnu v hodnotě 50 000 dolarů. Vyšetřování týmu odhalilo, že útočník převedl kryptoměnu v hodnotě více než 2 miliony dolarů od uživatelů, kteří předtím aplikaci udělili povolení k převodu jejich tokenů pomocí funkce selfSwap aplikace.
Funkce selfSwap umožnila uživatelům vyměnit jeden token za jiný poskytnutím adresy routeru a k němu připojených dat volání. kód však neobsahoval seznam routerů, které již byly certifikovány.
Aby bylo možné přenést uživatelské tokeny z jejich peněženek do útočníkovy vlastní chytré smlouvy, útočník využívá tuto metodu ke směrování transakce z Dexible do každé tokenové smlouvy. Tokenové smlouvy nezastavily padělané transakce, protože pocházely ze společnosti Dexible, které uživatelé předtím dali povolení používat své tokeny.
Michael Coon, výkonný ředitel Dexible, řekl:
"Pozastavili jsme tyto smlouvy, zatímco máme úplný obrázek o situaci."
Podle blockchainových dat byla jednou z obětí společnost BlockTower Capital, která investuje do digitálních aktiv.
Peněženka, kterou blockchainová zpravodajská společnost Arkham Intelligence popsala jako součást BlockTower, byla vyprázdněna o téměř 1,5 milionu $ v tokenech TRU prostřednictvím adresy peněženky spojené s Dexible exploiterem na blockchainové monitorovací platformě Etherscan. Adresu BlockTower Capital také přidělila blockchainová zpravodajská společnost Nansen.
Blockchainové transakce společnosti Arkham ukazují, že vykořisťovatel poslal ukradené tokeny TRU do SushiSwap, aby je vyměnil za Ethereum (ETH). Poté převedou ETH do TornadoCash, služby pro míchání kryptoměn.
ODMÍTNUTÍ ODPOVĚDNOSTI: Informace na této webové stránce jsou poskytovány jako obecný komentář k trhu a nepředstavují investiční poradenství. Doporučujeme vám, abyste si před investováním udělali vlastní průzkum.
Přidejte se k nám a sledujte novinky: https://linktr.ee/coincu
Harolde
Novinky Coincu