Ο αποκεντρωμένος συναθροιστής συναλλάγματος CoW Swap υπέστη ένα μεγάλο χακάρισμα, με τον εισβολέα να κερδίζει χρήματα με περισσότερα από 180,000 δολάρια, σύμφωνα με τις εταιρείες ασφαλείας PeckShield και BlockSec.
Ως συσσωρευτής αποκεντρωμένης ανταλλαγής (DEX), στόχος του CoW Swap είναι να παρέχει στους χρήστες τις καλύτερες τιμές σε όλα τα αποκεντρωμένα χρηματιστήρια. Ωστόσο, ένας χάκερ στόχευσε το έξυπνο συμβόλαιο διακανονισμού εμπορικών συναλλαγών, το GPv2Settlement, για να εξαντλήσει τα κεφάλαια.
Ο PeckShield υπολόγισε ότι ο εισβολέας απέσυρε DAI αξίας περίπου 180,000 δολαρίων από το CoW Swap πριν διοχετεύσει τα κεφάλαια μέσω του Tornado Cash για να αποκτήσει 551 BNB. Η επίθεση είχε στόχο το GPv2Settlement, ένα έξυπνο συμβόλαιο διακανονισμού εμπορικών συναλλαγών που αποτελεί μέρος του πρωτοκόλλου CoW Swap alpha (GPv2).
Φαίνεται ότι ο εισβολέας ξεγέλασε τον κάτοχο της σύμβασης GPv2Settlement για να εγκρίνει τη χρήση του SwapGuard, κάτι που συνήθως δεν επιτρέπεται.
Σύμφωνα με το PeckShield, το SwapGuard είναι ένα δεύτερο συμβόλαιο που χρησιμοποιείται από την CoW Swap για να βοηθήσει και να επικυρώσει τα αποτελέσματα ανταλλαγής. Αυτή η έγκριση μπορεί να συνέβαλε στην επιτυχία της επίθεσης, καθώς το SwapGuard επιτρέπει αυθαίρετες κλήσεις λειτουργιών. Στο πλαίσιο των έξυπνων συμβολαίων, οι κλήσεις αυθαίρετων συναρτήσεων επιτρέπουν σε οποιονδήποτε έχει πρόσβαση στο συμβόλαιο να εκτελέσει οποιαδήποτε λειτουργία εντός του κώδικά του.
Ένας εκπρόσωπος της BlockSec είπε στο The Block ότι υπάρχει μια λειτουργία στο συμβόλαιο SwapGuard που μπορεί να μεταφέρει χρήματα σε οποιαδήποτε διεύθυνση. Ο εισβολέας επικαλέστηκε τη δημόσια λειτουργία για να μεταφέρει το DAI στο δικό τους διεύθυνση.
Η ομάδα CoW Swap είπε ότι η σύμβαση διακανονισμού που αξιοποιήθηκε έχει πρόσβαση μόνο στα τέλη που εισπράττονται από το πρωτόκολλο σε μια εβδομάδα και ότι ο χάκερ δεν μπόρεσε να αποκτήσει απευθείας πρόσβαση στα κεφάλαια των χρηστών.
© 2023 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss