Agregator pertukaran multichain Dexible terkena exploit dan akibatnya $2 juta dalam cryptocurrency hilang, menurut laporan 10 Februari. 17 laporan post-mortem dirilis oleh tim di server Discord resmi proyek.
Pada pukul 18:35 UTC tanggal 2 Februari. 17, front-end Dexible menampilkan peringatan popup tentang peretasan setiap kali pengguna menjelajahinya.
Pada 6:17 UTC, tim melaporkan bahwa mereka telah menemukan “potensi peretasan pada kontrak Dexible v2” dan sedang menyelidiki masalah tersebut. Sekitar sembilan jam kemudian, dia mengeluarkan pernyataan kedua bahwa dia sekarang tahu bahwa “$2.047.635,17 disadap dari 17 alamat pedagang. 4 di mainnet, 13 di arbitrum.”
Laporan post-mortem dikeluarkan pada pukul 16:00 UTC sebagai file PDF dan diposting ke Discord, dan tim tersebut mengatakan bahwa mereka “secara aktif mengerjakan rencana perbaikan.”
Dalam laporan tersebut, tim tersebut mengatakan bahwa mereka melihat ada yang tidak beres ketika salah satu pendirinya menarik mata uang kripto senilai $50.000 dari dompetnya karena alasan yang tidak diketahui pada saat itu. Setelah diselidiki, tim menemukan bahwa penyerang telah menggunakan fitur selfSwap aplikasi untuk memindahkan cryptocurrency senilai lebih dari $2 juta dari pengguna yang sebelumnya telah mengotorisasi aplikasi untuk memindahkan token mereka.
Fitur selfSwap memungkinkan pengguna untuk memberikan alamat router dan data panggilan terkait untuk menukar satu token dengan yang lain. Namun, tidak ada daftar router yang disetujui sebelumnya dalam kode tersebut. Dengan demikian, penyerang menggunakan fitur ini untuk merutekan transaksi dari Dexible ke setiap kontrak token, memindahkan token pengguna dari dompet mereka ke smart contract penyerang. Karena transaksi jahat ini berasal dari Dexible, yang telah diotorisasi oleh pengguna untuk membelanjakan token mereka, kontrak token tidak memblokir transaksi tersebut.
Terkait: NFT Influencer Menjadi Korban Serangan Cyber, Kehilangan $300K + CryptoPunks
Setelah menerima token dalam kontrak pintarnya, penyerang memikat koin tersebut melalui Tornado Cash di BNB yang tidak diketahui (BNB) dompet.
Dexible menangguhkan kontraknya dan mendesak pengguna untuk mencabut hak token mereka.
Praktik umum untuk mengesahkan persetujuan token dalam jumlah besar terkadang menyebabkan kerugian bagi pengguna cryptocurrency karena kontrak yang salah atau bahkan berbahaya, membuat beberapa ahli memperingatkan pengguna agar tidak secara teratur mencabut persetujuan. Ujung depan untuk sebagian besar aplikasi Web3 tidak secara langsung mengizinkan pengguna untuk mengubah jumlah token yang disetujui, sehingga pengguna sering kehilangan seluruh saldo token mereka jika aplikasi memiliki kelemahan keamanan. MetaMask dan dompet lain telah mencoba memecahkan masalah ini dengan mengizinkan pengguna untuk mengubah persetujuan token pada tahap konfirmasi dompet, tetapi banyak pengguna crypto masih tidak menyadari risiko tidak menggunakan fitur ini.