Dexible exploité par des pirates informatiques causant des dommages de 2 millions de dollars

Points clés :
Un exploit a affecté l'agrégateur d'échange multichaîne Dexible, et par conséquent, 2 millions de dollars de crypto ont été perdus.
Quelques baleines seraient responsables d'environ 85 % des pertes, poursuit l'étude.
Les données de la blockchain révèlent que BlockTower Capital, une société d’investissement dans les actifs numériques, était l’une des victimes.
Tôt vendredi, l'agrégateur d'échange décentralisé Dexible a été victime d'un piratage de 2 millions de dollars, selon une annonce que le protocole a mise à jour sur son canal Discord.
Le front-end Dexible affiche un avertissement contextuel concernant la vulnérabilité à chaque fois que les utilisateurs le visitent à partir de 18h35 UTC le 17 février.
Selon un tweet de Dexible, le pirate a pu drainer les actifs des portefeuilles de crypto-monnaie contenant des fonds dont l'utilisation avait été autorisée en profitant d'une faille dans le code du contrat intelligent.
    
Chère communauté Dexible, nous avons le regret de vous informer qu'aux premières heures du 17 février, un pirate informatique a exploité une vulnérabilité dans notre tout nouveau contrat intelligent. Cela a permis au pirate de voler des fonds de n'importe quel portefeuille qui avait une approbation de dépenses non dépensée sur le contrat.
— Dexible (@DexibleApp)    17 février 2023   
L'équipe a annoncé avoir découvert un possible piratage des contrats Dexible v2 à 6h17 UTC et qu'elle étudiait la question. Elle a envoyé une deuxième déclaration indiquant qu'elle connaissait désormais 2 047 635 $ environ neuf heures plus tard. Quelques baleines ont été responsables d'environ 85 % des pertes, poursuit l'étude.
Selon un rapport de Dexible, l'attaque a touché 13 portefeuilles Arbitrum et 5 portefeuilles Ethereum. Ces portefeuilles ont été entièrement minés.
Vers 16h00 UTC, un rapport d'autopsie a été publié sous forme de fichier PDF et mis à disposition sur Discord. L'équipe a également déclaré qu'elle travaillait actuellement sur un plan de remédiation.
L’équipe affirme dans le document qu’elle a pris connaissance d’un problème après que l’un de ses fondateurs se soit vu retirer 50 000 dollars de cryptomonnaies de son portefeuille pour des raisons obscures. L’enquête de l’équipe a révélé qu’un attaquant avait transféré plus de 2 millions de dollars de cryptomonnaies provenant d’utilisateurs qui avaient précédemment autorisé l’application à transférer leurs jetons en utilisant la fonction selfSwap de l’application.
La fonction selfSwap permettait aux utilisateurs d’échanger un jeton contre un autre en fournissant l’adresse d’un routeur et les données d’appel qui lui étaient connectées. Cependant, le code ne contenait pas de liste de routeurs déjà certifiés.
Afin de transférer les tokens des utilisateurs de leurs portefeuilles vers le contrat intelligent de l’attaquant, ce dernier utilise cette méthode pour acheminer une transaction de Dexible vers chaque contrat de token. Les contrats de tokens n’ont pas arrêté les transactions contrefaites puisqu’elles provenaient de Dexible, pour lequel les utilisateurs avaient précédemment donné l’autorisation d’utiliser leurs tokens.
Michael Coon, directeur général de Dexible, a déclaré :
   
« Nous avons suspendu ces contrats, le temps d’avoir une vision complète de la situation. »
   
Selon les données de la blockchain, BlockTower Capital, une société d’investissement dans les actifs numériques, était l’une des victimes.
Un portefeuille décrit comme appartenant à BlockTower par la société de renseignement blockchain Arkham Intelligence a été vidé de près de 1,5 million de dollars en jetons TRU par l'adresse du portefeuille liée à l'exploiteur Dexible sur la plateforme de surveillance blockchain Etherscan. L'adresse de BlockTower Capital a également été attribuée par la société de renseignement blockchain Nansen.
Les transactions sur la blockchain d’Arkham démontrent que l’exploitant a envoyé les jetons TRU volés à SushiSwap afin de les échanger contre de l’Ethereum (ETH). Ils ont ensuite transféré l’ETH à TornadoCash, un service de mixage de cryptomonnaies.
AVERTISSEMENT : Les informations présentées sur ce site Web sont fournies à titre de commentaire général sur le marché et ne constituent pas des conseils en investissement. Nous vous encourageons à effectuer vos propres recherches avant d'investir.
Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu
Harold
Nouvelles de Coincu