Según un informe post mortem publicado por el equipo en el canal oficial de Discord del proyecto el 17 de febrero, el agregador de intercambio multicadena Dexible se vio comprometido por un exploit y, como consecuencia directa, se robaron $ 2 millones en bitcoin.
A partir del 17 de febrero, a las 6:35 p. m. UTC, la interfaz de Dexible muestra una advertencia emergente sobre el ataque cada vez que los usuarios lo visitan.
El equipo dijo a las 6:17 a. m. UTC que había encontrado "un posible truco en los contratos de Dexible v2" y que estaba investigando el asunto en ese momento. Se emitió una segunda declaración alrededor de nueve horas después, en la que se decía que la compañía ahora sabía que "se explotaron $ 2,047,635.17 de 17 direcciones comerciales". 4 en mainnet, 13 en arbitraje”.
Se proporcionó un informe post-mortem como archivo PDF a las 4:00 p. m. UTC y se puso a disposición en Discord. El equipo también dijo que "actualmente estaba trabajando en un plan de reparación".
La organización declaró en el informe que se dio cuenta de que algo andaba mal cuando a uno de sus fundadores se le transfirieron activos criptográficos por valor de $ 50,000 de su billetera por razones que no estaban claras en ese momento. Las razones de este movimiento eran desconocidas en ese momento. Después de su investigación, el equipo llegó a la conclusión de que un adversario había utilizado la función selfSwap de la aplicación para robar casi $ 2 millones en criptomonedas de los usuarios que previamente habían dado permiso para que el programa transfiriera sus tokens.
Los usuarios podían intercambiar un token por otro utilizando la función selfSwap, que les obligaba a proporcionar la dirección de un enrutador y los datos de llamada conectados con él. Sin embargo, el código no incluía una lista de enrutadores que ya habían sido revisados y autorizados. Para mover los tokens de los usuarios de sus billeteras al propio contrato inteligente del atacante, el atacante utilizó este método para enrutar una transacción de Dexible a cada contrato de token. Los contratos de tokens no detuvieron estas transacciones potencialmente peligrosas, ya que se originaron en Dexible, a la que los usuarios ya habían dado permiso para usar sus tokens.
Después de recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas usando Tornado Cash y las colocó en billeteras BNB (BNB) de las que no tenían conocimiento.
La ejecución de los contratos de Dexible se ha detenido y la empresa ha solicitado que los usuarios retiren sus autorizaciones de tokens para dichos contratos.
La práctica común de autorizar aprobaciones de tokens para grandes cantidades a veces puede generar pérdidas para los usuarios de criptomonedas debido a errores o contratos maliciosos. Como resultado, algunos expertos de la industria aconsejan a los usuarios que revoquen periódicamente las aprobaciones para protegerse de posibles daños financieros. Debido a que las interfaces de la mayoría de las aplicaciones Web3 no permiten explícitamente que los usuarios modifiquen la cantidad de tokens otorgados, los usuarios a menudo pierden la totalidad de su saldo de tokens si se descubre que una aplicación tiene un problema de seguridad. A pesar de MetaMask y otras billeteras han intentado resolver este problema al permitir que los usuarios modifiquen las aprobaciones de tokens durante el proceso de confirmación de la billetera, la mayoría de los usuarios de criptomonedas aún no están informados de las posibles consecuencias de no utilizar esta función.
Fuente: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack