Hackean el agregador DexibleApp por USD 2 millones mediante la función selfSwap

　　La función defectuosa pretendía permitir a los usuarios proporcionar su propia información de enrutamiento, pero el código no limitaba los enrutadores a una lista preaprobada.

　　有缺陷的功能旨在允许用户提供自己的路由信息，但代码并未将路由器限制在预先批准的列表中。

　　El agregador de exchange cross-chain DexibleApp ha sido atacado por un exploit, y como resultado se han perdido criptomonedas por valor de 2 millones de dólares, según un informe post-mortem publicado el 17 de febrero por el equipo en el servidor oficial Discord del proyecto.

　　根据团队于 2 月 17 日在该项目的官方 discord 服务器上发布的一份事后报告，跨链交易聚合器 dexibleapp 遭到漏洞攻击，导致价值 200 万美元的加密货币丢失。

　　A partir de las 6:35 p.m. UTC del 17 de febrero, el frontend de DexibleApp muestra una ventana emergente advirtiendo sobre el hackeo cada vez que los usuarios navegan por él.

　　截至 utc 时间 2 月 17 日下午 6:35，dexibleapp 前端会在用户浏览时显示有关黑客攻击的弹出警告。

　　A las 6:17 a.m. UTC, el equipo informó de que habían descubierto “un posible hackeo en los contratos de Dexible v2” y que estaban investigando el problema. Aproximadamente nueve horas después, publicaron un segundo comunicado en el que afirmaban que “ahora saben que se han explotado 2,047,635.17 dólares desde 17 direcciones de traders. 4 en mainnet, 13 en arbitrum”.

　　在世界标准时间早上 6 点 17 分，该团队报告说他们发现了“dexible v2 合约中可能存在黑客攻击”，并正在调查该问题。大约 9 小时后，他们发布了第二份声明，称他们“现在知道已经从 17 个交易者地址中开采了 2,047,635.17 美元。4 个在主网上，13 个在 arbitrum 上。”

　　Un informe post-mortem fue emitido a las 4 p.m. UTC como un archivo pdf y publicado en Discord, y el equipo dijo que estaba “trabajando activamente en un plan de remediación”.

　　utc 时间下午 4 点以 pdf 文件形式发布了验尸报告，并发布到 discord，该团队表示“正在积极制定补救计划”。

　　En el informe, el equipo declaró que se había dado cuenta de que algo andaba mal cuando a uno de sus fundadores se le retiraron criptomonedas por valor de 50,000 dólares de su cartera por razones que se desconocían en ese momento. Tras investigar, el equipo descubrió que un atacante había utilizado la función selfSwap de la aplicación para mover criptomonedas por valor de más de USD 2 millones de usuarios que habían autorizado previamente a la aplicación a mover sus tokens.

　　在报告中，该团队表示，当其创始人之一出于当时未知的原因将价值 50,000 美元的加密货币从其投资组合中移除时，他们意识到出了点问题。经过调查，该团队发现攻击者使用该应用程序的 selfswap 功能从之前授权该应用程序移动其代币的用户那里转移了价值超过 200 万美元的加密货币。

　　La función selfSwap permitía a los usuarios proporcionar la dirección de un enrutador y los datos de llamada asociados a él para realizar un intercambio de un token por otro. Sin embargo, el código no incluía una lista de enrutadores preaprobados. Así, el atacante utilizó esta función para enrutar una transacción desde Dexible a cada contrato de tokens, moviendo los tokens de los usuarios desde sus carteras al propio contrato inteligente del atacante. Como estas transacciones maliciosas procedían de Dexible, a la que los usuarios ya habían autorizado a gastar sus tokens, los contratos de tokens no bloquearon las transacciones.

　　selfswap 功能允许用户提供路由器的地址和与之相关的呼叫数据，以执行一个令牌与另一个令牌的交换。但是，该代码不包括预先批准的路由器列表。因此，攻击者使用此功能将交易从 dexible 路由到每个代币合约，将用户的代币从他们的钱包转移到攻击者自己的智能合约中。由于这些恶意交易来自用户已经授权使用其代币的 dexible，因此代币合约并未阻止交易。

　　Tras recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas a través de Tornado cash a billeteras desconocidas de Binance Coin (BNB).

　　在他自己的智能合约中收到代币后，攻击者通过 tornado cash 将代币提取到未知的币安币 (bnb) 钱包中。

　　Dexible ha puesto en pausa sus contratos y ha instado a los usuarios a revocar las autorizaciones de tokens para ellos.

　　dexible 已暂停其合约，并敦促用户撤销对他们的代币授权。

　　La práctica común de autorizar aprobaciones de tokens por grandes cantidades ha llevado en ocasiones a pérdidas para los usuarios de criptomonedas debido a contratos con errores o directamente maliciosos, lo que ha llevado a algunos expertos a advertir a los usuarios que revoquen las aprobaciones de forma regular. Las interfaces de la mayoría de las aplicaciones Web 3.0 no permiten directamente a los usuarios editar la cantidad de tokens aprobados, por lo que los usuarios a menudo pierden el saldo completo de sus tokens si una aplicación resulta tener un fallo de seguridad. Metamask y otros monederos han intentado solucionar este problema permitiendo a los usuarios editar las aprobaciones de tokens en el paso de confirmación de billetera. Pero muchos usuarios de criptomonedas siguen sin ser conscientes del riesgo de no utilizar esta función.

　　授权大量代币批准的常见做法有时会由于错误或完全恶意的合同而导致加密货币用户蒙受损失，导致一些专家警告用户定期撤销批准。。大多数 web 3.0 应用程序的界面不允许用户直接编辑已批准的代币数量，因此如果应用程序被发现存在安全漏洞，用户通常会失去其全部代币余额。 metamask 和其他钱包试图通过允许用户在钱包确认步骤编辑代币批准来解决这个问题。但许多加密货币用户仍然没有意识到不使用此功能的风险。

　　Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.

　　对加密资产的投资不受监管。它们可能不适合散户投资者，并且可能损失全部投资金额。所提供的服务或产品不针对西班牙的投资者，也不能供他们使用。