Hackean el agregador DexibleApp por USD 2 millones mediante la función “selfSwap”

El agregador de exchange cross-chain DexibleApp ha sido atacado por un exploit, y como resultado se han perdido criptomonedas por valor de 2 millones de dólares, según un informe post-mortem publicado el 17 de febrero por el equipo en el servidor oficial Discord del proyecto.

A partir de las 6:35 p.m. UTC del 17 de febrero, el frontend de DexibleApp muestra una ventana emergente advirtiendo sobre el hackeo cada vez que los usuarios navegan por él.

A las 6:17 a.m. UTC, el equipo informó de que habían descubierto “un posible hackeo en los contratos de Dexible v2” y que estaban investigando el problema. Aproximadamente nueve horas después, publicaron un segundo comunicado en el que afirmaban que “ahora saben que se han explotado 2,047,635.17 dólares desde 17 direcciones de traders. 4 en mainnet, 13 en arbitrum”.

Un informe post-mortem fue emitido a las 4 p.m. UTC como un archivo pdf y publicado en Discord, y el equipo dijo que estaba “trabajando activamente en un plan de remediación”.

En el informe, el equipo declaró que se había dado cuenta de que algo andaba mal cuando a uno de sus fundadores se le retiraron criptomonedas por valor de 50,000 dólares de su cartera por razones que se desconocían en ese momento. Tras investigar, el equipo descubrió que un atacante había utilizado la función selfSwap de la aplicación para mover criptomonedas por valor de más de USD 2 millones de usuarios que habían autorizado previamente a la aplicación a mover sus tokens.  

La función selfSwap permitía a los usuarios proporcionar la dirección de un enrutador y los datos de llamada asociados a él para realizar un intercambio de un token por otro. Sin embargo, el código no incluía una lista de enrutadores preaprobados. Así, el atacante utilizó esta función para enrutar una transacción desde Dexible a cada contrato de tokens, moviendo los tokens de los usuarios desde sus carteras al propio contrato inteligente del atacante. Como estas transacciones maliciosas procedían de Dexible, a la que los usuarios ya habían autorizado a gastar sus tokens, los contratos de tokens no bloquearon las transacciones.

Tras recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas a través de Tornado cash a billeteras desconocidas de Binance Coin BNB€295.

Dexible ha puesto en pausa sus contratos y ha instado a los usuarios a revocar las autorizaciones de tokens para ellos.

La práctica común de autorizar aprobaciones de tokens por grandes cantidades ha llevado en ocasiones a pérdidas para los usuarios de criptomonedas debido a contratos con errores o directamente maliciosos, lo que ha llevado a algunos expertos a advertir a los usuarios que revoquen las aprobaciones de forma regular. Las interfaces de la mayoría de las aplicaciones Web 3.0 no permiten directamente a los usuarios editar la cantidad de tokens aprobados, por lo que los usuarios a menudo pierden el saldo completo de sus tokens si una aplicación resulta tener un fallo de seguridad. Metamask y otros monederos han intentado solucionar este problema permitiendo a los usuarios editar las aprobaciones de tokens en el paso de confirmación de billetera. Pero muchos usuarios de criptomonedas siguen sin ser conscientes del riesgo de no utilizar esta función.

Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a, CriptomonedaseICO.

Nota importante: han habido informes de estafadores que se acercan a empresas a través de Emails, Telegram, LinkedIn y otras plataformas sociales que pretenden representar a CRIPTOMONEDASEICO y ofrecer pautas publicitarias. Nunca nos acercaremos a nadie directamente.Por favor, siempre póngase en contacto con nosotros a través de nuestraPÁGINA DE CONTACTO AQUÍ.