Geliştirici ekip tarafından projenin Discord sunucusunda yayımlanan rapora göre, DEX toplayıcı Dexible, bir açıktan etkilendi ve 2 milyon dolarlık kripto para çalındı.
17 Şubat 18:35 UTC itibariyle Dexible kullanıcı arabirimi, saldırı hakkında bir pencere uyarısı gösteriyor.
Ekip, 06:17 UTC’de “Dexible v2 sözleşmelerinde potansiyel bir hack” keşfettiğini ve sorunu araştırdığını açıkladı. Yaklaşık 9 saat sonra ekip, 17 trader’ın adresinden 2 milyon doların üzerinde varlığın kullanıldığını açıkladı.
Ekip, konuyla ilgili raporu bir PDF dosyası olarak yayımladı ve Discord üzerinden aktif olarak bir iyileştirme planı üzerinde çalışıldığını açıkladı.
Ekip, kaleme alınan raporda, kuruculardan birinin cüzdanından 50.000 değerinde kripto para çıktığını gördüklerinde bir şeylerin ters gittiğini anladığını belirtti. Yapılan araştırmanın ardından ekip, saldırganın uygulamanın selfSwap işlevin yardımıyla daha önce uygulamaya token’larını taşıma yetkisi vermiş kullanıcılardan 2 milyon doların üzerinde kripto para çalındığını tespit etti.
SelfSwap işlemi, kullanıcıların bir yönlendiricinin adresini ve bununla ilişkili olan çağrı verilerini sağlayarak bir token’ı diğeriyle değiştirmesine olanak sağladı. Ancak kodun içerisinde önceden onaylanan yönlendiricilerin bir listesi bulunmamaktaydı. Saldırgan, Dexible üzerinden her bir token sözleşmesine bir işlemi yönlendirmek için bu işlevi kullancı ve kullanıcıların token’larını cüzdanlarından kendi akıllı sözleşmesine taşıdı. Bu kötü niyetle gerçekleştirilen işlemler, kullanıcıların zaten token’larını harcamak içi yetkilendirdiği Dexible’dan geldiği için token sözleşmeleri işlemleri engellemedi.
Saldırgan, token’ları kendi akıllı sözleşmesine aktadıktan sonra, Tornado Cash kullanarak anonim BNB cüzdanlarına aktardı.
Dexible, sözleşmeleri duraklattı ve kullanıcıları token yetkilendirmelerini iptal etmeye davet etti.
Büyük miktarlardaki token onayların izin verme konusu, kötü niyetli kişilerin devreye girmesiyle büyük kayıplarla sonuçlanabiliyor. Bazı uzmanlar, kullanıcıların bu onayları düzenli olarak iptal etmeleri gerektiğni söylüyor.
MetaMask gibi çeşitli cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine izin vererek bu sorunu çözmeye çalıştı. Ancak birçok kullanıcı bu özelliği kullanmamanın getirdiği riskler konusunda bilgi sahibi değil.
17 Şubat 18:35 UTC itibariyle Dexible kullanıcı arabirimi, saldırı hakkında bir pencere uyarısı gösteriyor.
Ekip, 06:17 UTC’de “Dexible v2 sözleşmelerinde potansiyel bir hack” keşfettiğini ve sorunu araştırdığını açıkladı. Yaklaşık 9 saat sonra ekip, 17 trader’ın adresinden 2 milyon doların üzerinde varlığın kullanıldığını açıkladı.
Ekip, konuyla ilgili raporu bir PDF dosyası olarak yayımladı ve Discord üzerinden aktif olarak bir iyileştirme planı üzerinde çalışıldığını açıkladı.
Ekip, kaleme alınan raporda, kuruculardan birinin cüzdanından 50.000 değerinde kripto para çıktığını gördüklerinde bir şeylerin ters gittiğini anladığını belirtti. Yapılan araştırmanın ardından ekip, saldırganın uygulamanın selfSwap işlevin yardımıyla daha önce uygulamaya token’larını taşıma yetkisi vermiş kullanıcılardan 2 milyon doların üzerinde kripto para çalındığını tespit etti.
SelfSwap işlemi, kullanıcıların bir yönlendiricinin adresini ve bununla ilişkili olan çağrı verilerini sağlayarak bir token’ı diğeriyle değiştirmesine olanak sağladı. Ancak kodun içerisinde önceden onaylanan yönlendiricilerin bir listesi bulunmamaktaydı. Saldırgan, Dexible üzerinden her bir token sözleşmesine bir işlemi yönlendirmek için bu işlevi kullancı ve kullanıcıların token’larını cüzdanlarından kendi akıllı sözleşmesine taşıdı. Bu kötü niyetle gerçekleştirilen işlemler, kullanıcıların zaten token’larını harcamak içi yetkilendirdiği Dexible’dan geldiği için token sözleşmeleri işlemleri engellemedi.
Saldırgan, token’ları kendi akıllı sözleşmesine aktadıktan sonra, Tornado Cash kullanarak anonim BNB cüzdanlarına aktardı.
Dexible, sözleşmeleri duraklattı ve kullanıcıları token yetkilendirmelerini iptal etmeye davet etti.
Büyük miktarlardaki token onayların izin verme konusu, kötü niyetli kişilerin devreye girmesiyle büyük kayıplarla sonuçlanabiliyor. Bazı uzmanlar, kullanıcıların bu onayları düzenli olarak iptal etmeleri gerektiğni söylüyor.
MetaMask gibi çeşitli cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine izin vererek bu sorunu çözmeye çalıştı. Ancak birçok kullanıcı bu özelliği kullanmamanın getirdiği riskler konusunda bilgi sahibi değil.