El agregador de intercambio multicadena Dexible se vio afectado por un exploit y, como resultado, se perdieron USD 2 millones en criptomonedas, según un informe post mortem del 17 de febrero publicado por el equipo en el servidor oficial de Discord del proyecto.

A partir de las 18:35 UTC del 17 de febrero, el front-end de Dexible muestra una advertencia emergente sobre el hack cada vez que los usuarios lo navegan.

A las 6:17 UTC, el equipo informó que habían descubierto «un posible ataque a los contratos de Dexible v2» y estaban investigando el problema. Aproximadamente nueve horas después, emitió una segunda declaración de que ahora sabía que “se extrajeron $ 2,047,635.17 de 17 direcciones de comerciantes. 4 en mainnet, 13 en arbitraje”.

Se emitió un informe post-mortem a las 16:00 UTC como archivo PDF y se publicó en Discord, y el equipo dijo que estaba «trabajando activamente en un plan de remediación».

En el informe, el equipo dice que notaron que algo andaba mal cuando uno de sus fundadores retiró $50,000 en criptomonedas de su billetera por razones que se desconocían en ese momento. Tras la investigación, el equipo descubrió que un atacante había utilizado la función selfSwap de la aplicación para mover más de $2 millones en criptomonedas de usuarios que habían autorizado previamente a la aplicación para mover sus tokens.

La función selfSwap permitía a los usuarios proporcionar una dirección de enrutador y datos de llamadas asociados para intercambiar un token por otro. Sin embargo, no había una lista de enrutadores preaprobados en el código. Luego, el atacante usó esta función para enrutar una transacción de Dexible a cada contrato de token, moviendo los tokens de los usuarios de sus billeteras al contrato inteligente del atacante. Dado que estas transacciones maliciosas provenían de Dexible, que los usuarios ya habían autorizado para gastar sus tokens, los contratos de tokens no bloquearon las transacciones.

Relacionado: Influencer de NFT es víctima de un ataque cibernético, pierde $ 300K + CryptoPunks

Después de recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas a través de Tornado Cash en billeteras BNB (BNB) desconocidas.

Dexible suspendió sus contratos e instó a los usuarios a revocar los derechos de token para ellos.

La práctica común de autorizar aprobaciones de tokens para grandes cantidades a veces ha provocado pérdidas para los usuarios de criptomonedas debido a contratos defectuosos o incluso maliciosos, lo que lleva a algunos expertos a advertir a los usuarios que revoquen las aprobaciones de forma regular. Las interfaces de la mayoría de las aplicaciones Web3 no permiten a los usuarios cambiar directamente la cantidad de tokens aprobados, por lo que los usuarios a menudo pierden todo su saldo de tokens si una aplicación tiene una falla de seguridad. MetaMask y otras billeteras han intentado resolver este problema al permitir que los usuarios cambien las aprobaciones de tokens en la etapa de confirmación de la billetera, pero muchos usuarios de criptomonedas aún desconocen el riesgo de no usar esta función.