Krowa (Zbieżność pragnień) Protokół , zdecentralizowana platforma finansowa, na której zbudowany jest CoW Swap, ucierpiała w wyniku ataku multisig na inteligentny kontrakt rozliczeniowy.
Ujawnienie zagrożenia zostało po raz pierwszy opublikowane przez MevRefund, badacza bezpieczeństwa blockchain i hakera Whitehat.
@CoWSwap Twoje fundusze wydają się uciekać…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) 7 lutego 2023 r.
PeckShield, firma zajmująca się audytem bezpieczeństwa Blockchain, potwierdziła później exploit, publikując ujawnienie na Twitterze.
wydaje się (1) @CoWSwapKontrakt GPv2Settlement firmy GPv10Settlement został oszukany 2 dni temu w celu zatwierdzenia SwapGuard na wydatki DAI i (2) SwapGuard został właśnie uruchomiony w celu przeniesienia DAI z GPvXNUMXSettlement. Oto dwa powiązane tx: https://t.co/Tb8Sk5xqMR i https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWizeOLzz
- PeckShield Inc. (@peckshield) 7 lutego 2023 r.
Dalsze szczegóły dotyczące exploita były wyjaśnił BlockSec, firma zajmująca się audytem inteligentnych kontraktów. Według BlockSec adres portfela cyberprzestępcy został dodany jako „rozwiązujący” CoW Swap za pośrednictwem multisig.
Multisig to rodzaj zabezpieczenia kryptograficznego, w którym do zatwierdzenia transakcji wymagany jest podpis kryptograficzny więcej niż jednej strony. Następnie atakujący wykorzystał ten dostęp do uruchomienia inteligentnego kontraktu rozliczeniowego i przelania 550 BNB do Tornado Cash, lejka anonimowości kryptograficznej, który umożliwia użytkownikom maskowanie transakcji, co utrudnia komukolwiek ich śledzenie.
Adres cyberprzestępcy wywołał później transakcję w celu zatwierdzenia DAI wobec SwapGuard, co skłoniło SwapGuard do przeniesienia DAI z umowy ugodowej Swap firmy CoW na kilka różnych adresów.
Chociaż firma CoW Swap nie wydała jeszcze oficjalnego oświadczenia w tej sprawie, twórcy protokołu twierdzą, że już pracują nad luką. W protokole stwierdzono również, że umowa rozliczeniowa exploita może uzyskać dostęp tylko do opłat, które zostały pobrane przez protokół w ciągu tygodnia, przy zabezpieczeniu środków użytkownika, biorąc pod uwagę, że można je podpisać tylko za pomocą zamówienia wykonanego przez użytkownika. Zespół CoW Swap zapewnił użytkowników, że ich konta pozostaną nienaruszone przez exploit, dodając, że nie muszą odwoływać żadnych wcześniejszych zatwierdzeń.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb