Những điểm chính:
Một lỗ hổng bảo mật đã ảnh hưởng đến sàn giao dịch đa chuỗi Dexible và hậu quả là 2 triệu đô la tiền điện tử đã bị mất.
Nghiên cứu cho biết thêm rằng một số ít cá voi gây ra khoảng 85% số lượng bị mất.
Dữ liệu blockchain cho thấy BlockTower Capital, một công ty đầu tư tài sản kỹ thuật số, là một trong những nạn nhân.
Theo thông báo được cập nhật trên kênh Discord, sáng sớm thứ sáu, sàn giao dịch phi tập trung Dexible đã trở thành nạn nhân của vụ hack trị giá 2 triệu đô la.
Giao diện Dexible hiển thị cảnh báo bật lên về lỗ hổng bảo mật bất cứ khi nào người dùng truy cập vào tính đến 6:35 chiều UTC ngày 17 tháng 2.
Theo một dòng tweet từ Dexible, tin tặc đã có thể rút tiền từ ví tiền điện tử có chứa số tiền đã được ủy quyền sử dụng bằng cách lợi dụng lỗ hổng trong mã hợp đồng thông minh.
Cộng đồng Dexible thân mến, chúng tôi rất tiếc phải thông báo với các bạn rằng vào sáng sớm ngày 17 tháng 2, một hacker đã khai thác lỗ hổng trong hợp đồng thông minh mới nhất của chúng tôi. Điều này cho phép hacker đánh cắp tiền từ bất kỳ ví nào có phê duyệt chi tiêu chưa chi tiêu trên hợp đồng. 1/5
— Dexible (@DexibleApp) Ngày 17 tháng 2 năm 2023
Nhóm nghiên cứu thông báo rằng họ đã tìm thấy một vụ hack có thể xảy ra đối với hợp đồng Dexible v2 vào lúc 6:17 sáng UTC và đang xem xét vấn đề này. Họ đã gửi một tuyên bố thứ hai cho biết hiện tại họ đã biết được 2.047.635 đô la sau khoảng chín giờ. Một số cá voi chiếm khoảng 85% số tiền thua lỗ, nghiên cứu tiếp tục.
Theo báo cáo của Dexible, cuộc tấn công đã ảnh hưởng đến 13 ví Arbitrum và 5 ví Ethereum. Các ví này đã được khai thác hoàn toàn.
Khoảng 4:00 chiều UTC, một báo cáo hậu sự đã được công bố dưới dạng tệp PDF và có sẵn trên Discord. Nhóm cũng tuyên bố rằng hiện tại họ đang xây dựng một kế hoạch khắc phục.
Nhóm nghiên cứu tuyên bố trong bài báo rằng họ đã nhận thức được vấn đề sau khi một trong những người sáng lập của họ bị mất 50.000 đô la tiền điện tử vì lý do không rõ ràng từ ví của mình. Cuộc điều tra của nhóm nghiên cứu cho thấy kẻ tấn công đã chuyển hơn 2 triệu đô la tiền điện tử từ những người dùng trước đó đã cấp cho ứng dụng quyền chuyển token của họ bằng tính năng selfSwap của ứng dụng.
Hàm selfSwap cho phép người dùng hoán đổi một mã thông báo này với một mã thông báo khác bằng cách cung cấp địa chỉ của bộ định tuyến và dữ liệu cuộc gọi được kết nối với bộ định tuyến đó. Tuy nhiên, mã không chứa danh sách các bộ định tuyến đã được chứng nhận.
Để chuyển token của người dùng từ ví của họ vào hợp đồng thông minh của kẻ tấn công, kẻ tấn công sử dụng phương pháp này để định tuyến giao dịch từ Dexible đến từng hợp đồng token. Các hợp đồng token không ngăn chặn các giao dịch giả mạo vì chúng đến từ Dexible, nơi mà người dùng đã cấp quyền sử dụng token của họ trước đó.
Michael Coon, giám đốc điều hành của Dexible, cho biết:
“Chúng tôi đã tạm dừng các hợp đồng này trong khi chờ đợi để có được bức tranh toàn cảnh về tình hình.”
Theo dữ liệu blockchain, BlockTower Capital, một công ty đầu tư tài sản kỹ thuật số, là một trong những nạn nhân.
Một ví được mô tả là thuộc về BlockTower của công ty tình báo blockchain Arkham Intelligence đã bị rút gần 1,5 triệu đô la tiền mã thông báo TRU bởi địa chỉ ví được liên kết với kẻ khai thác Dexible trên nền tảng giám sát blockchain Etherscan. Địa chỉ của BlockTower Capital cũng đã được công ty tình báo blockchain Nansen chỉ định.
Các giao dịch blockchain của Arkham chứng minh rằng kẻ khai thác đã gửi các token TRU bị đánh cắp đến SushiSwap để đổi chúng lấy Ethereum (ETH). Sau đó, chúng chuyển ETH đến TornadoCash, một dịch vụ trộn tiền điện tử.
TUYÊN BỐ MIỄN TRỪ TRÁCH NHIỆM: Thông tin trên trang web này được cung cấp dưới dạng bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyến khích bạn tự nghiên cứu trước khi đầu tư.
Tham gia cùng chúng tôi để theo dõi tin tức: https://linktr.ee/coincu
Harold
Tin tức Coincu