COW (Cincidence of Wants) Protokolla , hajautettu rahoitusalusta, jonka päälle CoW Swap on rakennettu, on kärsinyt monitoimihyökkäyksestä sen älykäs ratkaisusopimus.
Uhkapaljastuksen julkaisi ensimmäisenä MevRefund, blockchain-tietoturvatutkija ja whitehat-hakkeri.
@COWSwap rahasi näyttävät karkaavan...https://t.co/li1NkXNeUp
- MevRefund (@MevRefund) Helmikuu 7, 2023
Blockchain-tietoturvatarkastusyritys PeckShield vahvisti myöhemmin hyväksikäytön julkistamalla paljastuksen Twitterissä.
Näyttää siltä (1) @COWSwapGPv2Settlement-sopimusta huijattiin 10 päivää sitten SwapGuardin hyväksymiseksi DAI-kulujen osalta, ja (2) SwapGuard käynnistettiin juuri siirtämään DAI pois GPv2Settlementistä. Tässä on kaksi toisiinsa liittyvää tx:ää: https://t.co/Tb8Sk5xqMR ja https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Helmikuu 7, 2023
Lisätietoa hyväksikäytöstä oli selittää BlockSec, älykäs sopimusten tilintarkastusyritys. BlockSecin mukaan uhkatekijän lompakko-osoite lisättiin CoW Swapin "ratkaisijaksi" multisig:n kautta.
Multisig on eräänlainen kryptoturvatoimenpide, jossa useamman kuin yhden osapuolen kryptografinen allekirjoitus vaaditaan tapahtuman hyväksymiseen. Hyökkääjä käytti sitten tätä pääsyä käynnistääkseen älykkään sovittelusopimuksen ja tyhjentääkseen 550 BNB:tä Tornado Cashiin, salausanonymiteettisuppiloon, jonka avulla käyttäjät voivat peittää tapahtumat, mikä vaikeuttaa muiden jäljittämistä.
Uhkatoimijan osoite kutsui myöhemmin kauppaan hyväksyäkseen DAI:n SwapGuardille, mikä sai SwapGuardin siirtämään DAI:n CoW:n Swap-ratkaisusopimuksesta useisiin eri osoitteisiin.
Vaikka CoW Swap ei ole vielä julkaissut virallista lausuntoa asiasta, protokollan kehittäjät väittävät, että he työskentelevät jo haavoittuvuuden eteen. Pöytäkirjassa todettiin myös, että hyväksikäytön selvityssopimuksessa pääsee käsiksi vain viikon sisällä protokollalla kerättyihin maksuihin, kun käyttäjän varat ovat turvassa, kun otetaan huomioon, että ne voidaan allekirjoittaa vain käyttäjän suorittaman toimeksiannon kautta. CoW Swapin tiimi vakuutti käyttäjille, että hyväksikäyttö ei vaikuta heidän tileihinsä ja lisäsi, että heidän ei tarvinnut peruuttaa aiempia hyväksyntöjä.
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi laki-, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb