Công cụ tổng hợp linh hoạt bị hack với giá 2 triệu USD thông qua chức năng ‘selfSwap’
Chức năng lỗi nhằm mục đích cho phép người dùng cung cấp thông tin định tuyến của riêng họ, nhưng mã không giới hạn các bộ định tuyến trong danh sách được phê duyệt trước.
Công cụ tổng hợp trao đổi đa chuỗi Dexible đã bị tấn công và kết quả là số tiền điện tử trị giá 2 triệu USD đã bị mất, theo báo cáo khám nghiệm tử thi ngày 17 tháng 2 do nhóm phát hành trên máy chủ Discord chính thức của dự án.
Kể từ 6:35 chiều UTC ngày 17 tháng 2, giao diện người dùng Dexible hiển thị cảnh báo bật lên về vụ hack bất cứ khi nào người dùng điều hướng đến nó.
Vào lúc 6:17 sáng UTC, nhóm đã báo cáo rằng họ đã phát hiện ra “một vụ hack tiềm ẩn đối với các hợp đồng Dexible v2” và đang điều tra vấn đề. Khoảng chín giờ sau, nó đưa ra tuyên bố thứ hai rằng giờ đây nó đã biết “2.047.635,17 USD đã được khai thác từ 17 địa chỉ giao dịch. 4 trên mainnet, 13 trên arbitrum.”
Một báo cáo khám nghiệm tử thi đã được phát hành lúc 4:00 chiều UTC dưới dạng tệp PDF và được phát hành trên Discord, nhóm cho biết họ đang “tích cực thực hiện kế hoạch khắc phục”.
Trong báo cáo, nhóm tuyên bố rằng họ đã nhận thấy có điều gì đó không ổn khi một trong những người sáng lập của họ đã chuyển số tiền điện tử trị giá 50.000 USD ra khỏi ví của anh ta vì những lý do chưa được biết vào thời điểm đó. Sau khi điều tra, nhóm phát hiện ra rằng hacker đã sử dụng chức năng selfSwap của ứng dụng để di chuyển số tiền điện tử trị giá hơn 2 triệu USD từ những người dùng trước đó đã cho phép ứng dụng di chuyển mã thông báo của họ.
Chức năng selfSwap cho phép người dùng cung cấp địa chỉ của bộ định tuyến và dữ liệu cuộc gọi được liên kết với nó để thực hiện hoán đổi mã thông báo này lấy mã thông báo khác. Tuy nhiên, không có danh sách các bộ định tuyến được phê duyệt trước được ghi vào mã. Vì vậy, hacker đã sử dụng chức năng này để định tuyến giao dịch từ Dexible đến từng hợp đồng mã thông báo, chuyển mã thông báo của người dùng từ ví của họ sang hợp đồng thông minh của chính hacker. Bởi vì các giao dịch độc hại này đến từ Dexible, người dùng đã được phép sử dụng mã thông báo của họ, nên các hợp đồng mã thông báo không chặn các giao dịch.
Sau khi nhận được mã thông báo vào hợp đồng thông minh của riêng mình, hacker đã rút tiền thông qua Tornado Cash thành BNB không xác định ví.
Dexible đã tạm dừng các hợp đồng của mình và kêu gọi người dùng thu hồi ủy quyền mã thông báo cho họ.
Thông lệ phổ biến về việc ủy quyền phê duyệt mã thông báo với số lượng lớn đôi khi dẫn đến tổn thất cho người dùng tiền điện tử do các hợp đồng có lỗi hoặc hoàn toàn độc hại, khiến một số chuyên gia cảnh báo người dùng nênthu hồi phê duyệt một cách thường xuyên . Giao diện người dùng của hầu hết các ứng dụng Web3 không trực tiếp cho phép người dùng chỉnh sửa số lượng mã thông báo được phê duyệt, vì vậy người dùng thường mất toàn bộ số dư mã thông báo của họ nếu một ứng dụng hóa ra có lỗ hổng bảo mật. MetaMask và các ví khác đã cố gắng khắc phục sự cố này bằng cách cho phép người dùng chỉnh sửa phê duyệt mã thông báo ở bước xác nhận ví, nhưng nhiều người dùng tiền điện tử vẫn chưa nhận thức được rủi ro khi không sử dụng tính năng này.
