El agregador de intercambio de cadenas múltiples Dexible se vio afectado por un exploit y, como resultado, se perdieron $ 2 millones en criptomonedas, según un informe post mortem del 17 de febrero publicado por el equipo en el servidor oficial de Discord del proyecto.
A partir de las 18:35 UTC del 17 de febrero, el front-end de Dexible mostraba una advertencia emergente sobre el hackeo cada vez que los usuarios navegaban hacia él.
A las 6:17 a. m. UTC, el equipo informó que había descubierto un «hackeo potencial en los contratos de Dexible v2» y estaba investigando el problema. Aproximadamente nueve horas después, emitió una segunda declaración de que ahora sabía que “17 direcciones de comerciantes explotaron $2,047,635.17. 4 en la red principal, 13 en el arbitraje”.
Se emitió un informe de autopsia a las 16:00 UTC como archivo PDF y se publicó en Discord, y el equipo dijo que estaba «trabajando activamente en un plan de remediación».
En el informe, el equipo declaró que notó que algo andaba mal cuando uno de sus fundadores sacó $ 50,000 en criptomonedas de su billetera por razones actualmente desconocidas. Después de la investigación, el equipo descubrió que un atacante usó la función selfSwap de la aplicación para mover más de $ 2 millones en criptografía de usuarios que habían autorizado previamente a la aplicación para mover sus tokens.
La función selfSwap permitía a los usuarios proporcionar la dirección de un enrutador y los datos de llamadas asociados con él para intercambiar un token por otro. Sin embargo, no había una lista de enrutadores preaprobados en el código. Entonces, el atacante usa esta función para enrutar una transacción de Dexible a cada contrato de token, moviendo los tokens de los usuarios de sus billeteras al propio contrato inteligente del atacante. Debido a que estas transacciones maliciosas provenían de Dexible, que los usuarios ya habían autorizado para gastar sus tokens, los contratos de tokens no bloquearon las transacciones.
Conectado: Influencer de NFT es víctima de un ciberataque y pierde $300K+ CryptoPunks
Después de recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas a través de Tornado Cash a billeteras BNB (BNB) desconocidas.
Dexible ha pausado sus contratos e instó a los usuarios a revocar los permisos de token para ellos.
La práctica común de permitir aprobaciones de tokens para grandes cantidades a veces genera pérdidas para los usuarios de criptomonedas debido a errores o contratos maliciosos, lo que lleva a algunos expertos a advertir a los usuarios que revoquen las aprobaciones con regularidad. Los front-end para la mayoría de las aplicaciones Web3 no permiten a los usuarios editar directamente la cantidad de tokens aprobados, por lo que los usuarios a menudo pierden el saldo total de sus tokens si se descubre que una aplicación tiene una brecha de seguridad. MetaMask y otras billeteras han intentado solucionar este problema al permitir que los usuarios editen las aprobaciones de tokens en el paso de confirmación de la billetera, pero muchos usuarios de criptomonedas aún desconocen el riesgo de no usar esta función.
