Bảng tỷ giá 
Bạn đang ở:
91 
Chức năng lỗi nhằm mục đích cho phép người dùng cung cấp thông tin định tuyến của riêng họ, nhưng mã không giới hạn các bộ định tuyến trong danh sách được phê duyệt trước.
Công cụ tổng hợp nền tảng giao dịch đa chuỗi Dexible đã bị khai thác và hậu quả là số tiền điện tử trị giá 2 triệu đô la Mỹ đã bị mất, theo báo cáo khám nghiệm tử thi ngày 17 tháng 2 do nhóm phát hành trên máy chủ Discord chính thức của dự án.
Kể từ 6:35 chiều UTC ngày 17 tháng 2, giao diện người dùng Dexible hiển thị cảnh báo bật lên về vụ hack bất cứ khi nào người dùng điều hướng đến nó.
Vào lúc 6:17 sáng UTC, nhóm đã báo cáo rằng họ đã phát hiện ra một vụ hack tiềm ẩn đối với các hợp đồng Dexible v2 và đang điều tra vấn đề. Khoảng chín giờ sau, nó đưa ra tuyên bố thứ hai rằng hiện tại nó đã biết 2.047.635,17 đô la đã được khai thác từ 17 địa chỉ của nhà đầu tư. 4 trên mạng chính, 13 trên arbitrum.
Một báo cáo khám nghiệm tử thi đã được phát hành lúc 4:00 chiều UTC dưới dạng tệp PDF và được phát hành trên Discord, đồng thời nhóm cho biết họ đang tích cực thực hiện kế hoạch khắc phục.
Trong báo cáo, nhóm tuyên bố rằng họ đã nhận thấy có điều gì đó không ổn khi một trong những người sáng lập của họ đã chuyển số tiền điện tử trị giá 50.000 đô la ra khỏi ví của anh ấy vì những lý do chưa được biết vào thời điểm đó. Sau khi điều tra, nhóm phát hiện ra rằng kẻ tấn công đã sử dụng chức năng selfSwap của ứng dụng để di chuyển số tiền điện tử trị giá hơn 2 triệu đô la Mỹ từ những người dùng trước đây đã cho phép ứng dụng di chuyển Token của họ.
Chức năng selfSwap cho phép người dùng cung cấp địa chỉ của bộ định tuyến và dữ liệu cuộc gọi được liên kết với nó để hoán đổi Token này lấy Token khác. Tuy nhiên, không có danh sách các bộ định tuyến được phê duyệt trước được ghi vào mã. Vì vậy, kẻ tấn công đã sử dụng chức năng này để định tuyến giao dịch từ Dexible đến từng hợp đồng Token, chuyển Token của người dùng từ ví của họ sang hợp đồng thông minh của chính kẻ tấn công. Bởi vì các giao dịch độc hại này đến từ Dexible, người dùng đã được phép sử dụng Token của họ, hợp đồng Token không chặn giao dịch.
Sau khi nhận được Token vào hợp đồng thông minh của riêng mình, kẻ tấn công đã rút tiền thông qua Tornado Cash vào ví BNB (BNB) không xác định.
Dexible đã tạm dừng các hợp đồng của mình và kêu gọi người dùng thu hồi ủy quyền Token cho họ.
Thông lệ phổ biến về việc ủy quyền phê duyệt Token với số lượng lớn đôi khi dẫn đến tổn thất cho người dùng tiền điện tử do hợp đồng có lỗi hoặc hoàn toàn độc hại, khiến một số chuyên gia cảnh báo người dùng thường xuyên thu hồi phê duyệt. Giao diện người dùng của hầu hết các ứng dụng Web3 không trực tiếp cho phép người dùng chỉnh sửa số lượng Token được phê duyệt, vì vậy người dùng thường mất toàn bộ số dư Token của họ nếu một ứng dụng có lỗi bảo mật. MetaMask và các ví khác đã cố gắng khắc phục sự cố này bằng cách cho phép người dùng chỉnh sửa phê duyệt Token ở bước xác nhận ví, nhưng nhiều người dùng tiền điện tử vẫn chưa nhận thức được rủi ro khi không sử dụng tính năng này.
Theo CoinTelegraph
|
|
Tags: Nền tảng giao dịch tiền điện tử, Token, DEX,
