Dexible hackerato, rubati circa 2 milioni di dollari in crypto

Dexible, aggregatore multichain di exchange, ha subito un attacco hacker: un post-mortem del 17 febbraio rivela che sono stati rubati circa 2 milioni di dollari in criptovalute. A partire dalle 18:35 UTC del 17 febbraio, il front-end di Dexible ha iniziato a mostrare il seguente avviso:

"Cara community di Dexible.

Siamo spiacenti di informarvi che, nelle prime ore del 17 febbraio, un hacker ha sfruttato una vulnerabilità nel nostro più recente smart contract. Questo ha permesso all'hacker di rubare fondi da ogni wallet che avesse spend approval non spesi sul contratto.

Stiamo prendendo la situazione molto sul serio; dopo aver rilevato il problema, il nostro team immediatamente sospeso tutti i contratti Dexible su tutte le chain. Non sarà possibile inviare nuovi trade fino a che la situazione non sarà risolta. Stiamo mettendo a punto un piano d'azione formale.

Se sei un utente danneggiato, ti invitiamo ad entrare sul Discord di Dexible. Crea un #support-ticket con l'indirizzo del block explorer e lo storico del wallet.

Rimedieremo al problema.

Con affetto,
il Team di Dexible."

Alle 6:17 UTC, il team ha riferito di aver scoperto "un potenziale hack sui contratti Dexible v2" e di star indagando sul problema. Circa nove ore dopo, è stata pubblicata una dichiarazione secondo cui "2.047.635,17$ sono stati rubati da 17 indirizzi, 4 sul mainnet e 13 su Arbitrum."

Il post-mortem è stato pubblicato sul Discord ufficiale alle 16:00 UTC: il team ha affermato di star "mettendo a punto un piano d'azione formale" per risarcire gli utenti danneggiati. Dexible ha inoltre congelato i contratti ed esortato gli utenti a revocare le autorizzazioni.

Il team racconta di aver notato che qualcosa non andava quando uno dei suoi fondatori ha senza alcun avviso prelevato 50.000$ in crypto dal suo wallet. Dopo aver indagato, il team ha scoperto che un hacker aveva sfruttato la funzione selfSwap per trasferire oltre 2 milioni di dollari in crypto da utenti che avevano precedentemente autorizzato l'app a spostare i propri token.

Leggi anche: Un influencer NFT cade vittima di un attacco informatico e perde oltre 300.000$ in CryptoPunks

Dopo aver messo le mani sui token, l'hacker ha inviato i fondi su Tornado Cash e successivamente verso wallet Binance Coin (BNB) sconosciuti.