Venerdì scorso Dexible, un aggregatore di piattaforme di scambio decentralizzate, è stato vittima di un hacking da 2 milioni di dollari. Le informazioni sono state divulgate in un documento pubblicato sul suo server Discord.
I fatti
Dexible ha dichiarato sul suo account Twitter che l’hacker ha sfruttato una debolezza nel codice dello smart contract. Utilizzando questa debolezza, è stato in grado di drenare fondi dai portafogli di criptovalute con fondi che erano stati approvati per la spesa.
Dear Dexible community, we regret to inform you that in the early hours of February 17th, a hacker exploited a vulnerability in our newest smart contract. This allowed the hacker to steal funds from any wallet that had an unspent spend approval on the contract.
— Dexible (@DexibleApp) February 17, 2023
1/5
Il team di Dexible ha aggiunto che “alcune balene”, ossia i grandi possessori di criptovalute, hanno registrato circa l’85% delle perdite. I dati della blockchain mostrano che BlockTower Capital, la società di investimento in asset digitali, è stata tra le vittime dell’attacco. Infatti, l’indirizzo del portafoglio associato all’hacker Dexible sulla piattaforma di monitoraggio della blockchain Etherscan ha prosciugato circa 1,5 milioni di dollari in token TRU da un portafoglio identificato come quello di BlockTower. Il portafoglio è stato identificato da Arkham Intelligence, una società di intelligence blockchain. Anche la società di intelligence blockchain Nansen ha identificato l’indirizzo come BlockTower Capital. Le transazioni blockchain su Arkham mostrano che l‘hacker ha trasferito i token TRU rubati a SushiSwap per scambiarli con ether (ETH). Poi ha inviato ETH al fornitore di servizi di criptovaluta TornadoCash.
Un hack effettuato sulla funzione Selfswap di Dexible
Dexible spiega che il suo team ha trovato e segnalato un “potenziale hack sui contratti Dexible v2”. A seguito di questa scoperta, ha pubblicato un rapporto in cui si afferma che sono stati violati circa 2.047.635,17 dollari. L’exploit è stato effettuato su 17 indirizzi, di cui quattro sulla rete principale e 13 su Arbitrum. Su Discord, l’amministratore delegato di Dexible ha dichiarato: “Abbiamo sospeso questi contratti in attesa di avere un quadro completo della situazione”.
Nel rapporto di Dexible si apprende che l‘hack è iniziato con il ritiro di 50.000 dollari di criptovalute dal portafoglio di uno dei suoi fondatori. Dopo un’analisi, il team si è reso conto che la funzione “sefSwap” della piattaforma è stata utilizzata per spostare questi fondi. Questa funzione selfSwap consente agli utenti di scambiare token con altri utilizzando un indirizzo router e i dati di chiamata associati. Utilizzando questa funzione, l’hacker ha effettuato una transazione dalla piattaforma Dexible al proprio smart contract. Le transazioni non potevano essere bloccate automaticamente, poiché gli utenti li avevano precedentemente autorizzati a spendere i token.
Una volta che i token sono finiti nel suo smart contract, l’hacker li ha prelevati tramite Tornado Cash e li ha depositati in portafogli BNB sconosciuti. Quando Dexible ha reagito per sospendere i suoi contratti e queste transazioni, più di 2 milioni di dollari erano già stati rimossi dalla sua piattaforma. Come misura di sicurezza, l’aggregatore ha chiesto ai suoi utenti di revocare le autorizzazioni per spendere i token