Dexible - 翻车

危机公关的灾难，因为跨链的混乱继续......

去中心化交易聚合器Dexible周五在以太坊和Arbitrum上总共损失了200万美元。

虽然合约很快被暂停，但官方公告却是在黑客攻击9个多小时后，在Peckshield发出警报5个多小时后。

该公告指出，他们的技术负责人"很早就发现了攻击"，但"未能及时通过Twitter渠道回应”——尽管在这几个小时内他们发布了各种宣传推文。

然而，当他们最终做出回应时，他们的部分信息给人的印象与其说是充耳不闻，不如说是漠不关心。

没有任何借口，但事情就是发生了。

当被问及时，Dexible团队只是引用了rekt.news排行榜，指出了一个铁的事实：

在DeFi中（经常）发生黑客攻击。

信息来源：Dexible, Peckshield, Beosin

Dexible最近推出的v2合约的一个特点是允许用户通过selfSwap功能定义自己的交易路由。Dexible的事后报告（通过Telegram和Discord发布，PDF格式）解释说：

嵌入在每个交易请求中的是一个"路由"，即调用什么DEX以及向该DEX发送什么数据来执行交易

然而，该功能并没有通过诸如使用链上许可列表来检查路由器地址是否真的是一个DEX。

路由器地址没有以任何方式在链上得到验证。这意味着，黑客没有调用DEX智能合约，而是简单地调用了一个代币合约，要求"transferFrom"任何在Dexible合约上有过授权的账户

黑客地址（ETH、ARBI、BSC）： 0x684083f312ac50f538cc4b634d85a2feafaab77a

交易示例：0x138daa4c...

受影响的地址相对较少，据说大部分损失来自BlockTower Capital的一个地址，该地址损失了1800万个TRU代币，当时价值约为140万美元。

以太坊上损失大约150万美元，并被发送到Tornado Cash。还在Arbitrum上损失45万美元，在发送到Tornado Cash之前跨链到BSC。

在事后报告中，Dexible团队试图根据他们团队的经验来证明发布未经审计的代码是合理的：

没有对最新的一组合约进行正式的审计。我们让几个社区成员和Dexible工程师审查代码，他们没有发现漏洞。创建合约的核心工程师有超过25年的软件工程经验，他也没有发现这个漏洞。然而，在审查了黑客的交易后，他立即明白了交易是如何执行的。

审计不是制胜法宝......但它肯定有帮助。

即使是最有经验的工程师也可能忽视他们自己代码中的安全漏洞。自然，在搭建一个新的协议时，开发人员主要是考虑到用户。

但在这个行业，安全是最重要的。

而且，不乏有未经审计的协议进入了排行榜。

用Dexible自己的话说：

在DeFi中（经常）发生黑客攻击。

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。