CoW (Σύμπτωση επιθυμιών) Πρωτόκολλο , η αποκεντρωμένη πλατφόρμα χρηματοδότησης πάνω στην οποία έχει δημιουργηθεί το CoW Swap, έχει υποστεί επίθεση πολλαπλών σημείων στο έξυπνο συμβόλαιο διακανονισμού.
Η αποκάλυψη της απειλής κυκλοφόρησε για πρώτη φορά από τον MevRefund, έναν ερευνητή ασφάλειας blockchain και χάκερ whitehat.
@CoWSwap τα χρήματά σας φαίνεται να απομακρύνονται…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Φεβρουάριος 7, 2023
Η εταιρεία ελέγχου ασφάλειας Blockchain PeckShield επιβεβαίωσε αργότερα την εκμετάλλευση, δημοσιοποιώντας την αποκάλυψη στο Twitter.
Φαίνεται (1) @CoWSwapΤο συμβόλαιο του GPv2Settlement εξαπατήθηκε πριν από 10 ημέρες για να εγκρίνει το SwapGuard για δαπάνες DAI και (2) Το SwapGuard μόλις ενεργοποιήθηκε για να μεταφέρει το DAI από το GPv2Settlement. Εδώ είναι τα δύο σχετικά tx: https://t.co/Tb8Sk5xqMR και https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Φεβρουάριος 7, 2023
Περαιτέρω λεπτομέρειες σχετικά με το exploit ήταν εξηγείται από το BlockSec, μια ελεγκτική εταιρεία έξυπνων συμβολαίων. Σύμφωνα με το BlockSec, η διεύθυνση πορτοφολιού του ηθοποιού απειλής προστέθηκε ως «λύτης» του CoW Swap μέσω ενός multisig.
Το multisig είναι ένας τύπος μέτρου κρυπτογραφικής ασφάλειας στο οποίο απαιτείται κρυπτογραφική υπογραφή περισσότερων του ενός μερών για την έγκριση μιας συναλλαγής. Στη συνέχεια, ο εισβολέας χρησιμοποίησε αυτήν την πρόσβαση για να ενεργοποιήσει το έξυπνο συμβόλαιο διακανονισμού και να αποστραγγίσει 550 BNB στο Tornado Cash, μια διοχέτευση ανωνυμίας κρυπτογράφησης που επιτρέπει στους χρήστες να κρύψουν τις συναλλαγές, καθιστώντας πιο δύσκολο για οποιονδήποτε άλλον να τις εντοπίσει.
Η διεύθυνση του ηθοποιού της απειλής επικαλέστηκε αργότερα τη συναλλαγή προκειμένου να εγκρίνει το DAI προς το SwapGuard, ωθώντας το SwapGuard να μεταφέρει το DAI από τη σύμβαση διακανονισμού Swap της CoW σε διάφορες διευθύνσεις.
Ενώ το CoW Swap δεν έχει ακόμη δημοσιεύσει επίσημη δήλωση για το θέμα, οι προγραμματιστές του πρωτοκόλλου ισχυρίζονται ότι ήδη εργάζονται για την ευπάθεια. Το πρωτόκολλο έλεγε επίσης ότι η σύμβαση διακανονισμού του exploit μπορεί να έχει πρόσβαση στις χρεώσεις που έχουν εισπραχθεί από το πρωτόκολλο μόνο εντός μιας εβδομάδας, με ασφαλή κεφάλαια χρήστη, δεδομένου ότι αυτά μπορούν να υπογραφούν μόνο μέσω παραγγελίας που εκτελείται από έναν χρήστη. Η ομάδα του CoW Swap διαβεβαίωσε τους χρήστες ότι οι λογαριασμοί τους θα παραμείνουν ανεπηρέαστοι από το exploit, προσθέτοντας ότι δεν ήταν υποχρεωμένοι να ανακαλέσουν τυχόν προηγούμενες εγκρίσεις.
Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb