2월 17일 팀이 프로젝트의 공식 Discord 서버에 발표한 사후 보고서에 따르면 멀티체인 거래소 애그리게이터 Dexible이 익스플로잇 공격을 받았고 그 결과 XNUMX만 달러 상당의 암호화폐가 손실되었습니다.
6월 35일 오후 17시 XNUMX분(UTC)부터 Dexible 프런트 엔드는 사용자가 탐색할 때마다 해킹에 대한 팝업 경고를 표시합니다.
UTC 오전 6시 17분에 팀은 "Dexible v2 계약에 대한 잠재적인 해킹"을 발견했으며 문제를 조사하고 있다고 보고했습니다. 약 2,047,635.17시간 후, "$17이 4개의 거래자 주소에서 착취당했습니다. 메인넷에서 13위, 아비트럼에서 XNUMX위.”
사후 보고서는 UTC 오후 4시에 PDF 파일로 발행되어 Discord에 공개되었으며 팀은 "개선 계획에 적극적으로 노력하고 있다"고 말했습니다.
보고서에서 팀은 창립자 중 한 명이 당시 알려지지 않은 이유로 지갑에서 50,000달러 상당의 암호화폐를 빼냈을 때 무언가 잘못되었음을 알아차렸다고 밝혔습니다. 팀은 조사 후 공격자가 앱의 selfSwap 기능을 사용하여 이전에 앱에서 토큰을 이동하도록 승인한 사용자로부터 2만 달러 이상의 암호화폐를 이동했음을 발견했습니다.
selfSwap 기능을 통해 사용자는 라우터의 주소와 이와 관련된 호출 데이터를 제공하여 한 토큰을 다른 토큰으로 교환할 수 있었습니다. 그러나 사전 승인된 라우터 목록이 코드에 기록되지 않았습니다. 따라서 공격자는 이 기능을 사용하여 Dexible에서 각 토큰 계약으로 트랜잭션을 라우팅하고 사용자의 토큰을 지갑에서 공격자의 스마트 계약으로 이동했습니다. 이러한 악의적인 거래는 사용자가 이미 토큰을 사용하도록 승인한 Dexible에서 발생했기 때문에 토큰 계약은 거래를 차단하지 않았습니다.
관련 : NFT 인플루언서가 사이버 공격의 희생양이 되어 $300 이상의 CryptoPunks 손실
공격자는 자신의 스마트 계약으로 토큰을 받은 후 Tornado Cash를 통해 알 수 없는 BNB로 코인을 인출했습니다(BNB) 지갑.
Dexible은 계약을 일시 중지하고 사용자에게 토큰 승인을 취소하도록 촉구했습니다.
많은 양의 토큰 승인을 승인하는 일반적인 관행은 때때로 버그가 있거나 노골적인 악의적인 계약으로 인해 암호화 사용자에게 손실을 초래하여 일부 전문가는 사용자에게 다음과 같이 경고합니다. 정기적으로 승인 취소. 대부분의 Web3 앱의 프런트 엔드는 사용자가 승인된 토큰의 양을 직접 편집하도록 허용하지 않으므로 앱에 보안 결함이 있는 것으로 밝혀지면 사용자는 토큰의 전체 잔액을 잃는 경우가 많습니다. MetaMask 및 기타 지갑은 사용자가 지갑 확인 단계에서 토큰 승인을 편집할 수 있도록 허용하여 이 문제를 해결하려고 시도했지만 많은 암호화폐 사용자는 여전히 이 기능을 사용하지 않을 때의 위험을 인식하지 못하고 있습니다.
출처: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function