ເຄື່ອງລວບລວມການແລກປ່ຽນ multichain Dexible ໄດ້ຖືກໂຈມຕີໂດຍການຂູດຮີດ, ແລະມູນຄ່າ 2 ລ້ານໂດລາຂອງ cryptocurrency ໄດ້ສູນເສຍເປັນຜົນ, ອີງຕາມບົດລາຍງານຫຼັງການເສຍຊີວິດຂອງ Feb 17 ທີ່ປ່ອຍອອກມາໂດຍທີມງານໃນເຄື່ອງແມ່ຂ່າຍ Discord ຢ່າງເປັນທາງການຂອງໂຄງການ.
ຮອດເວລາ 6:35 ໂມງ UTC ຂອງວັນທີ 17 ກຸມພາ, ສ່ວນດ້ານໜ້າຂອງ Dexible ສະແດງການເຕືອນໄພປັອບອັບກ່ຽວກັບການແຮັກທຸກຄັ້ງທີ່ຜູ້ໃຊ້ໄປຫາມັນ.
ໃນເວລາ 6:17 ໂມງເຊົ້າ UTC, ທີມງານລາຍງານວ່າມັນໄດ້ຄົ້ນພົບ "ການ hack ທີ່ເປັນໄປໄດ້ກ່ຽວກັບສັນຍາ Dexible v2" ແລະກໍາລັງສືບສວນບັນຫາ. ປະມານເກົ້າຊົ່ວໂມງຕໍ່ມາ, ມັນໄດ້ອອກຖະແຫຼງການທີສອງທີ່ມັນຮູ້ວ່າ "$2,047,635.17 ຖືກຂູດຮີດຈາກ 17 ທີ່ຢູ່ຂອງພໍ່ຄ້າ. 4 ໃນ mainnet, 13 on arbitrum.”
ບົດລາຍງານການເສຍຊີວິດໄດ້ຖືກອອກໃນເວລາ 4:00 ໂມງ UTC ເປັນໄຟລ໌ PDF ແລະປ່ອຍອອກມາເມື່ອ Discord, ແລະທີມງານກ່າວວ່າມັນ "ເຮັດວຽກຢ່າງຈິງຈັງໃນແຜນການແກ້ໄຂ."
ໃນບົດລາຍງານ, ທີມງານກ່າວວ່າມັນໄດ້ສັງເກດເຫັນບາງສິ່ງບາງຢ່າງທີ່ຜິດພາດໃນເວລາທີ່ຜູ້ກໍ່ຕັ້ງຂອງຕົນມີເງິນ crypto 50,000 ໂດລາໄດ້ຍ້າຍອອກຈາກກະເປົາເງິນຂອງລາວສໍາລັບເຫດຜົນທີ່ບໍ່ຮູ້ຈັກໃນເວລານັ້ນ. ຫຼັງຈາກການສືບສວນ, ທີມງານພົບວ່າຜູ້ໂຈມຕີໄດ້ໃຊ້ຟັງຊັນ selfSwap ຂອງແອັບຯເພື່ອຍ້າຍ crypto ມູນຄ່າ 2 ລ້ານກວ່າໂດລາຈາກຜູ້ໃຊ້ທີ່ເຄີຍອະນຸຍາດໃຫ້ແອັບຯຍ້າຍ tokens ຂອງເຂົາເຈົ້າ.
ຟັງຊັນ selfSwap ໄດ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສະຫນອງທີ່ຢູ່ຂອງ router ແລະ calldata ທີ່ກ່ຽວຂ້ອງກັບມັນເພື່ອເຮັດໃຫ້ການ swap ຂອງ token ຫນຶ່ງສໍາລັບຄົນອື່ນ. ຢ່າງໃດກໍຕາມ, ບໍ່ມີບັນຊີລາຍຊື່ຂອງ routers preapproved ຂຽນເຂົ້າໄປໃນລະຫັດ. ດັ່ງນັ້ນ, ຜູ້ໂຈມຕີໄດ້ໃຊ້ຟັງຊັນນີ້ເພື່ອເຮັດທຸລະກໍາຈາກ Dexible ໄປຫາແຕ່ລະສັນຍາ token, ຍ້າຍ tokens ຂອງຜູ້ໃຊ້ຈາກ wallets ຂອງເຂົາເຈົ້າເຂົ້າໄປໃນສັນຍາ smart ຂອງຜູ້ໂຈມຕີ. ເນື່ອງຈາກວ່າທຸລະກໍາທີ່ເປັນອັນຕະລາຍເຫຼົ່ານີ້ມາຈາກ Dexible, ເຊິ່ງຜູ້ໃຊ້ໄດ້ອະນຸຍາດໃຫ້ໃຊ້ tokens ຂອງພວກເຂົາແລ້ວ, ສັນຍາ token ບໍ່ໄດ້ຂັດຂວາງການເຮັດທຸລະກໍາ.
ທີ່ກ່ຽວຂ້ອງ: ຜູ້ມີອິດທິພົນ NFT ຕົກເປັນເຫຍື່ອຂອງການໂຈມຕີທາງອິນເຕີເນັດ, ສູນເສຍ $300K+ CryptoPunks
ຫຼັງຈາກໄດ້ຮັບ tokens ເຂົ້າໄປໃນສັນຍາສະຫມາດຂອງຕົນເອງ, ຜູ້ໂຈມຕີໄດ້ຖອນຫຼຽນຜ່ານ Tornado Cash ເຂົ້າໄປໃນ BNB ທີ່ບໍ່ຮູ້ຈັກ (BNB) ກະເປົ໋າເງິນ.
Dexible ໄດ້ຢຸດສັນຍາຂອງຕົນໄວ້ຊົ່ວຄາວ ແລະຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ຖອນການອະນຸຍາດ token ສໍາລັບເຂົາເຈົ້າ.
ການປະຕິບັດທົ່ວໄປຂອງການອະນຸມັດ token ຈໍານວນຫຼວງຫຼາຍບາງຄັ້ງເຮັດໃຫ້ການສູນເສຍສໍາລັບຜູ້ໃຊ້ crypto ເນື່ອງຈາກສັນຍາ buggy ຫຼືເປັນອັນຕະລາຍຢ່າງແທ້ຈິງ, ເຮັດໃຫ້ຜູ້ຊ່ຽວຊານບາງຄົນເຕືອນຜູ້ໃຊ້. ຖອນການອະນຸມັດເປັນປະຈຳ. ດ້ານຫນ້າສໍາລັບແອັບຯ Web3 ສ່ວນໃຫຍ່ບໍ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ແກ້ໄຂຈໍານວນ tokens ທີ່ໄດ້ຮັບອະນຸມັດໂດຍກົງ, ດັ່ງນັ້ນຜູ້ໃຊ້ມັກຈະສູນເສຍຄວາມສົມດຸນຂອງ tokens ຂອງພວກເຂົາຢ່າງເຕັມທີ່ຖ້າແອັບຯມີຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພ. MetaMask ແລະ wallets ອື່ນໆໄດ້ພະຍາຍາມແກ້ໄຂບັນຫານີ້ໂດຍການໃຫ້ຜູ້ໃຊ້ສາມາດແກ້ໄຂການອະນຸມັດ token ໃນຂັ້ນຕອນການຢືນຢັນ wallet, ແຕ່ຜູ້ໃຊ້ crypto ຫຼາຍຄົນຍັງບໍ່ຮູ້ກ່ຽວກັບຄວາມສ່ຽງທີ່ຈະບໍ່ໃຊ້ຄຸນສົມບັດນີ້.
ທີ່ມາ: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function