Według firm ochroniarskich PeckShield i BlockSec, zdecentralizowany agregator giełd CoW Swap doznał poważnego włamania, a atakujący uciekł z funduszami o wartości ponad 180,000 XNUMX USD.
Jako agregator zdecentralizowanych giełd (DEX), celem CoW Swap jest zapewnienie użytkownikom najlepszych cen na zdecentralizowanych giełdach. Jednak haker obrał za cel swój inteligentny kontrakt dotyczący rozliczeń handlowych, GPv2Settlement, w celu drenażu funduszy.
PeckShield oszacował, że atakujący ukradł DAI o wartości około 180,000 551 USD z CoW Swap, zanim skierował fundusze przez Tornado Cash, aby uzyskać 2 BNB. Celem ataku był GPv2Settlement, inteligentny kontrakt rozliczeniowy będący częścią protokołu CoW Swap alfa (GPvXNUMX).
Wygląda na to, że atakujący oszukał właściciela umowy GPv2Settlement, aby zatwierdził użycie SwapGuard, co zwykle jest zabronione.
Według PeckShield, SwapGuard jest drugim kontraktem używanym przez CoW Swap do wspomagania i sprawdzania wyników wymiany. Ta zgoda mogła przyczynić się do powodzenia ataku, ponieważ SwapGuard umożliwia dowolne wywołania funkcji. W kontekście inteligentnych umów, dowolne wywołania funkcji umożliwiają każdemu, kto ma dostęp do umowy, wykonanie dowolnej funkcji w jej kodzie.
Rzecznik BlockSec powiedział The Block, że w umowie SwapGuard istnieje funkcja, która może przesyłać pieniądze na dowolny adres. Atakujący wywołał funkcję publiczną, aby przenieść DAI do swoich adres.
Zespół CoW Swap powiedziany że wykorzystana umowa rozliczeniowa ma dostęp tylko do opłat pobieranych przez protokół w ciągu tygodnia i że haker nie był w stanie uzyskać bezpośredniego dostępu do środków użytkownika.
© 2023 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss