Hajautettu pörssiaggregaattori CoW Swap kärsi suuresta hakkeroinnista, ja hyökkääjä selviytyi yli 180,000 XNUMX dollarin varoista turvallisuusyritysten PeckShield ja BlockSec mukaan.
Hajautetun pörssin (DEX) aggregaattorina CoW Swapin tavoitteena on tarjota käyttäjille parhaat hinnat hajautetuissa pörsseissä. Eräs hakkeri kohdistaa kuitenkin GPv2Settlementin älykkään kauppasopimuksensa tyhjentääkseen varat.
PeckShield arvioi, että hyökkääjä tyhjensi noin 180,000 551 dollarin arvosta DAI:ta CoW Swapista ennen kuin reititti varat Tornado Cashin kautta saadakseen 2 BNB. Hyökkäys kohdistui GPv2Settlementiin, joka on osa CoW Swap alpha (GPvXNUMX) -protokollaa.
Näyttää siltä, että hyökkääjä huijasi GPv2Settlement-sopimuksen omistajan hyväksymään SwapGuardin käytön, mikä ei yleensä ole sallittua.
PeckShieldin mukaan SwapGuard on toinen sopimus, jota CoW Swap käyttää auttamaan ja vahvistamaan swap-tuloksia. Tämä hyväksyntä on saattanut myötävaikuttaa hyökkäyksen onnistumiseen, koska SwapGuard sallii mielivaltaiset toimintokutsut. Älykkäiden sopimusten yhteydessä mielivaltaiset toimintokutsut antavat kenen tahansa, jolla on pääsy sopimukseen, suorittaa minkä tahansa toiminnon sen koodissa.
BlockSecin tiedottaja kertoi The Blockille, että sopimuksessa SwapGuard on toiminto, joka voi siirtää rahaa mihin tahansa osoitteeseen. Hyökkääjä käytti julkista toimintoa siirtääkseen DAI:n heidän omiinsa osoite.
CoW Swap -tiimi sanoi että hyväksikäytetyllä sovintosopimuksella on pääsy vain protokollan keräämiin maksuihin viikossa ja että hakkeri ei päässyt suoraan käsiksi käyttäjien varoihin.
© 2023 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss