17 फरवरी को परियोजना के आधिकारिक डिस्कोर्ड चैनल पर टीम द्वारा प्रकाशित पोस्ट-मॉर्टम रिपोर्ट के अनुसार, मल्टीचैन एक्सचेंज एग्रीगेटर डेक्सिबल को एक शोषण द्वारा समझौता किया गया है, और प्रत्यक्ष परिणाम के रूप में, $ 2 मिलियन मूल्य का बिटकॉइन चोरी हो गया है।
17 फरवरी, 6:35 अपराह्न यूटीसी तक, डेक्सिबल का फ्रंट एंड हैक के बारे में एक पॉपअप चेतावनी प्रदर्शित करता है, जब भी उपयोगकर्ता इस पर जाते हैं।
टीम ने सुबह 6:17 UTC पर कहा कि उसे "Dexible v2 कॉन्ट्रैक्ट्स पर एक संभावित हैक" मिला था और उस समय इस मामले की जांच कर रही थी। लगभग नौ घंटे बाद एक दूसरा बयान जारी किया गया था, जिसमें कहा गया था कि कंपनी अब जानती है कि "2,047,635.17 व्यापारिक पतों से $ 17 का शोषण किया गया था।" 4 मेननेट पर, 13 आर्बिट्रम पर।”
एक पोस्ट-मॉर्टम रिपोर्ट एक पीडीएफ फाइल के रूप में शाम 4:00 यूटीसी पर प्रदान की गई और डिस्कॉर्ड पर उपलब्ध कराई गई। टीम ने यह भी कहा कि यह "वर्तमान में एक मरम्मत योजना पर काम कर रहा था।"
संगठन ने रिपोर्ट में कहा कि उसे पता चला कि कुछ गलत था जब उसके संस्थापकों में से एक के पास $ 50,000 मूल्य की क्रिप्टो संपत्ति थी, जो उस समय स्पष्ट नहीं होने के कारण उसके बटुए से बाहर हो गए थे। इस कदम के कारण उस समय अज्ञात थे। उनकी जांच के बाद, टीम इस नतीजे पर पहुंची कि एक विरोधी ने उपयोगकर्ताओं से लगभग $2 मिलियन मूल्य की क्रिप्टोकरंसी चुराने के लिए ऐप की सेल्फस्वैप सुविधा का उपयोग किया था, जिन्होंने पहले कार्यक्रम को अपने टोकन स्थानांतरित करने की अनुमति दी थी।
उपयोगकर्ता स्वस्वैप फ़ंक्शन का उपयोग करके एक टोकन का दूसरे के लिए व्यापार करने में सक्षम थे, जिसके लिए उन्हें राउटर का पता और उससे जुड़े कॉलडेटा प्रदान करने की आवश्यकता थी। हालाँकि, कोड में उन राउटरों की सूची शामिल नहीं थी जिनकी पहले ही समीक्षा की जा चुकी थी और उन्हें अधिकृत किया जा चुका था। हमलावर के अपने स्मार्ट अनुबंध में उपयोगकर्ताओं के टोकन को अपने बटुए से स्थानांतरित करने के लिए, हमलावर ने इस विधि का उपयोग डेक्सिबल से प्रत्येक टोकन अनुबंध के लिए लेनदेन को रूट करने के लिए किया। टोकन अनुबंधों ने इन संभावित खतरनाक लेन-देन पर रोक नहीं लगाई क्योंकि वे डेक्सिबल से उत्पन्न हुए थे, जिन्हें उपयोगकर्ताओं ने पहले ही अपने टोकन का उपयोग करने की अनुमति दे दी थी।
अपने स्वयं के स्मार्ट अनुबंध में टोकन प्राप्त करने के बाद, हमलावर ने टोर्नेडो कैश का उपयोग करके सिक्के वापस ले लिए और उन्हें बीएनबी (बीएनबी) वॉलेट में रख दिया, जिसके बारे में उन्हें पता नहीं था।
डेक्सिबल के अनुबंधों का निष्पादन रोक दिया गया है, और कंपनी ने अनुरोध किया है कि उपयोगकर्ता ऐसे अनुबंधों के लिए अपने टोकन प्राधिकरण वापस ले लें।
बड़ी मात्रा में टोकन अनुमोदन को अधिकृत करने का सामान्य अभ्यास कभी-कभी बगी या एकमुश्त दुर्भावनापूर्ण अनुबंधों के कारण क्रिप्टोक्यूरेंसी उपयोगकर्ताओं के लिए नुकसान का कारण बन सकता है। परिणामस्वरूप, कुछ उद्योग विशेषज्ञ उपयोगकर्ताओं को संभावित वित्तीय नुकसान से खुद को बचाने के लिए नियमित रूप से अनुमोदन रद्द करने की सलाह देते हैं। क्योंकि अधिकांश Web3 अनुप्रयोगों के सामने के छोर स्पष्ट रूप से उपयोगकर्ताओं को प्रदान किए गए टोकन की संख्या को बदलने की अनुमति नहीं देते हैं, यदि यह पता चलता है कि ऐप में सुरक्षा समस्या है तो उपयोगकर्ता अक्सर अपने पूरे टोकन संतुलन को खो देते हैं। यद्यपि MetaMask और अन्य वॉलेट्स ने उपयोगकर्ताओं को वॉलेट पुष्टिकरण प्रक्रिया के दौरान टोकन अनुमोदनों को बदलने के लिए सक्षम करके इस समस्या को हल करने का प्रयास किया है, अधिकांश क्रिप्टोकुरेंसी उपयोगकर्ता अभी भी इस फ़ंक्शन का उपयोग नहीं करने के संभावित परिणामों से अनजान हैं।
स्रोत: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack