Decentraliseret børsaggregator CoW Swap led et stort hack, hvor angriberen kom afsted med over $180,000 i midler, ifølge sikkerhedsfirmaerne PeckShield og BlockSec.
Som en decentraliseret børs (DEX) aggregator er CoW Swaps mål at give brugerne de bedste priser på tværs af decentraliserede børser. Imidlertid målrettede en hacker sin smarte kontrakt for handelsafvikling, GPv2Settlement, for at dræne midler.
PeckShield anslåede, at angriberen drænede omkring $180,000 værd af DAI fra CoW Swap, før han dirigerede midlerne gennem Tornado Cash for at opnå 551 BNB. Angrebet var rettet mod GPv2Settlement, en smart aftale om handelsafvikling, der er en del af CoW Swap alpha (GPv2) protokollen.
Det ser ud til, at angriberen narrede ejeren af GPv2Settlement-kontrakten til at godkende brugen af SwapGuard, hvilket normalt ikke er tilladt.
Ifølge PeckShield er SwapGuard en anden kontrakt, der bruges af CoW Swap til at assistere og validere bytteresultater. Denne godkendelse kan have bidraget til angrebets succes, da SwapGuard tillader vilkårlige funktionskald. I forbindelse med smarte kontrakter giver vilkårlige funktionskald alle med adgang til kontrakten mulighed for at udføre enhver funktion i dens kode.
En BlockSec-talsmand fortalte The Block, at der er en funktion i kontrakten SwapGuard, der kan overføre penge til enhver adresse. Angriberen påberåbte sig den offentlige funktion for at overføre DAI til deres adresse.
CoW Swap-teamet sagde at forligskontrakten, der blev udnyttet, kun har adgang til de gebyrer, der opkræves af protokollen i løbet af en uge, og at hackeren ikke var i stand til at få direkte adgang til brugermidler.
© 2023 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss