Dexible - REKT

Calamidad en las comunicaciones mientras continúa el caos cross-chain...

El decentralised exchange aggregator, Dexible perdió un total de $2M el viernes, en Ethereum y Arbitrum.

Aunque los contratos fueron pausados rápidamente, se produjo un anuncio oficial más de 9 horas después del ataque y más de cinco horas después de que Peckshield diera la alarma.

El hilo afirma que su tech lead "descubrió el ataque desde el principio", pero que el "canal de Twitter no pudo responder a tiempo", a pesar de que se publicaron varios tweets promocionales en las horas intermedias.

Sin embargo, cuando finalmente respondieron, parte de su mensaje resultó, en el mejor de los casos, insensible y, en el peor, indiferente.

No hay excusa para un exploit , pero estas cosas pasan

Y cuando se les llamó, el equipo de Dexible simplemente se refirió a el leaderboard de rekt.news , afirmando una dura verdad:

los exploits ocurren en DeFi.

Crédito: Dexible, Peckshield ,Beosin

Una característica de los contratos v2 recientemente presentados por Dexible permite a los usuarios definir su propio routing a través de la función selfSwap. El informe post-mortem de Dexible (publicado a través de Telegram y Discord, en formato PDF) explica:

en cada solicitud de swap se incluía un "route" de qué el DEX llama y le envía datos al DEX para ejecutar un swap

Sin embargo, la función no verifica si la dirección del router es realmente un DEX, por ejemplo, usando una on-chain allowlist:

la dirección del router no se verificó on-chain de ninguna manera. Esto significaba que, en lugar de llamar a un DEX smart contract , el hacker simplemente llamó a un contrato de token con una solicitud "transferFrom" a cualquier cuenta que tuviera spend approval en el contrato de Dexible.

Direcciones del atacante(ETH ,ARBI, BSC): 0x684083f312ac50f538cc4b634d85a2feafaab77a

Example tx: 0x138daa4c…

Relativamente pocas direcciones se vieron afectadas y, según se informa, la mayoría de las pérdidas provinieron de una dirección perteneciente a BlockTower Capital que perdió 18M de tokens TRU, valorados en ~$1,4M en ese momento.

En total, se perdieron aproximadamente $1,5M en Ethereum y se enviaron a Tornado Cash. Se perdieron otros $450k en Arbitrum, que se enviaron a BSC antes de ser cambiados también a través de Tornado Cash.

En el informe post-mortem, el equipo de Dexible intentó justificar la publicación de código no auditado en función de la experiencia de su equipo:

No se realizó una auditoría formal en el último conjunto de contratos. Hicimos que varios miembros de la comunidad e ingenieros de Dexible revisaran el código y no encontraron la vulnerabilidad. El ingeniero que creó los contratos tiene más de 25 años de experiencia en ingeniería de software y no vio la vulnerabilidad. Sin embargo, al revisar una de las transacciones del hacker , comprendió de inmediato cómo se ejecutó.

Una auditoría no es una bendición… pero ciertamente ayuda.

Incluso los ingenieros más experimentados pueden pasar por alto una vulnerabilidad de seguridad en su propio código. Naturalmente, al crear un nuevo protocolo, los developers tienen en mente principalmente a los usuarios.

Pero en esta industria, la seguridad es primordial.

Y no faltaron protocolos no auditados que llegaron a la leaderboard.

En las propias palabras de Dexible:

los exploits ocurren en DeFi.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.