Bir kripto Nakit platformu olan Dexible, ağındaki bir Emniyet açığından etkilendi. Bunun sonucuna 2 milyon dolarlık kayıp ortaya çıktı. İşte detaylar…
Kripto Nakit platformuna hack saldırısı
Ekip tarafından projenin resmi Discord sunucusunda yayınlanan 17 Şubat tarihli bir otopsi raporuna nazaran, Fazla zincirli borsa toplayıcı Dexible bir açıktan etkilendi ve Sonuç olarak 2 milyon dolarlık kripto Nakit ünitesi kayboldu. Gece saatleri itibariyle, Dexible kullanıcı arabirimi, kullanıcılar platforma her gittiğinde atak hakkında bir açılır pencere uyarısı gösteriyor. Grup sabah saatlerinde Dexible v2 kontratlarında potansiyel bir hack keşfettiğini ve sorunu araştırdığını açıkladı. Akabinde, 17 traderın adresinden 2.047.635,17 dolar kullanıldığını belirttiler.
Otopsi raporu dün akşam saatlerinde bir PDF belgesi olarak Discord’da yayınlandı ve grup “aktif olarak bir güzelleştirme planı üzerinde çalıştığını” söyledi. Raporda takım, kurucularından birinin o sırada bilinmeyen nedenlerle cüzdanından 50.000 dolar pahasında kripto Nakit çıkardığında bir şeylerin Aksi gittiğini ayrım ettiğini belirtiyor. Araştırmanın akabinde takım, bir saldırganın uygulamanın selfSwap fonksiyonunu kullanarak daha Evvel uygulamaya tokenlerini taşıma yetkisi vermiş kullanıcılardan 2 milyon doların üzerinde kripto Nakit taşıdığını tespit etti.
Hacker, fonları BNB’ye dönüştürdü
SelfSwap fonksiyonu, kullanıcıların bir yönlendiricinin adresini ve bununla bağlı Davet bilgilerini sağlayarak bir tokenı başkasıyla değiştirmesine müsaade verdi. Lakin, koda yazılmış evvelce onaylanmış yönlendiricilerin listesi yoktu. Saldırgan, Dexible’dan her bir token mukavelesine bir süreci yönlendirmek için bu fonksiyonu kullandı ve kullanıcıların tokenlarını, cüzdanlarından saldırganın kendi akıllı mukavelesine taşıdı. Bu Üzücü niyetli süreçler, kullanıcıların esasen tokenlerini harcamak için yetkilendirdiği Dexible’dan geldiği için, token kontratları süreçleri engellemedi.
Saldırgan, tokenları kendi akıllı mukavelesine aldıktan sonra, tokenları Tornado Cash aracılığıyla bilinmeyen bir cüzdana aktararak BNB’ye dönüştürdü. Dexible, mukavelelerini duraklattı ve kullanıcıları onlar için token yetkilendirmelerini iptal etmeye çağırdı. Aka ölçüler için token onaylarına müsaade Eda biçimindeki yaygın uygulama kimi yanılgılı yahut büsbütün Kötü niyetli kontratlar nedeniyle kripto kullanıcıları için kayıplara yol açarak kimi uzmanların kullanıcıları onayları sistemli olarak iptal etmeleri konusunda uyarmasına yol açtı.
Çoğu Web3 uygulamasının frontend’i, kullanıcıların onaylanan token ölçüsünü direkt düzenlemesine müsaade vermez, bu nedenle, bir uygulamada bir Emniyet açığı olduğu ortaya çıkarsa kullanıcılar ekseriyetle tokenlarının tam bakiyesini kaybeder. Kriptokoin.com olarak da bildirdiğimiz üzere MetaMask ve öteki cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine müsaade vererek bu sorunu çözmeye çalıştı lakin birçok kripto kullanıcısı bu özelliği kullanmamanın riskinden hala habersiz.
Yorum Yok