Le 13 décembre 2023, l'agrégateur DEX OKX a perdu environ 2,7 millions de dollars de fonds d'utilisateurs après qu'une clé privée proxy-admin dépréciée a été compromise. L'attaquant l'a utilisée pour mettre à niveau le proxy OKX DEX vers une implémentation malveillante qui drainait les jetons des portefeuilles ayant accordé des approbations à l'agrégateur.
Ce qui s'est passé
Les contrats DEX d'OKX utilisaient un proxy modifiable. Une ancienne clé proxy-admin qui aurait dû être retirée conservait l'autorité de mise à niveau. L'attaquant l'a obtenue, a poussé une implémentation malveillante, et le contrat mis à niveau a permis des transferFrom arbitraires contre l'ensemble (très grand) de portefeuilles avec des approbations OKX DEX permanentes. ~2,7 M$ ont été balayés avant qu'OKX ne révoque le proxy admin et mette en pause.
Conséquences
- OKX a permuté le proxy admin, mis le contrat en pause, et s'est engagé à compenser entièrement les utilisateurs affectés.
- La plupart des utilisateurs affectés ont été remboursés depuis les fonds corporatifs d'OKX.
Pourquoi c'est important
OKX DEX combine deux leçons récurrentes du catalogue : (1) les clés dépréciées sont des clés actives jusqu'à révocation explicite (cf. le rôle Profanity non révoqué de Wintermute, le minter dormant de Gala Games), et (2) les contrats modifiables détenant des approbations étendent la confiance des utilisateurs à toutes les implémentations futures. L'agrégateur DEX d'un échange majeur détient un énorme pool d'approbations permanentes ; une seule clé de mise à niveau oubliée transforme ce pool en rayon d'explosion. La réponse de remboursement depuis le trésor est, dès 2023, le comportement de référence de survie que le catalogue documente à plusieurs reprises.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-okx-dex-hack-december-2023
- [02]cryptobriefing.comhttps://cryptobriefing.com/okx-dex-hacked-2-7-million-after-private-key-leak/
- [03]rekt.newshttps://rekt.news/okx-dex-rekt