CoW (sammenfald af ønsker) protokol , den decentraliserede finansieringsplatform, som CoW Swap er bygget over, har lidt under et multisig-angreb på sin smarte afregningskontrakt.
Trusselsafsløringen blev først udgivet af MevRefund, en blockchain-sikkerhedsforsker og whitehat-hacker.
@CoWSwap dine penge ser ud til at forsvinde...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februar 7, 2023
Blockchain-sikkerhedsrevisionsfirmaet PeckShield bekræftede senere udnyttelsen og offentliggjorde afsløringen på Twitter.
Det ser ud til (1) @CoWSwap's GPv2Settlement-kontrakt er blevet narret for 10 dage siden for at godkende SwapGuard til DAI-udgifter og (2) SwapGuard blev lige udløst til at overføre DAI fra GPv2Settlement. Her er de to relaterede txs: https://t.co/Tb8Sk5xqMR , https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februar 7, 2023
Yderligere detaljer om udnyttelsen var forklaret af BlockSec, et smart kontraktrevisionsfirma. Ifølge BlockSec blev trusselsaktørens tegnebogsadresse tilføjet som en "løser" af CoW Swap via en multisig.
En multisig er en form for krypto-sikkerhedsforanstaltning, hvor der kræves mere end én parts kryptografiske signatur for at godkende en transaktion. Angriberen brugte derefter denne adgang til at udløse den smarte afregningskontrakt og dræne 550 BNB til Tornado Cash, en kryptoanonymitetstragt, der gør det muligt for brugere at maskere transaktioner, hvilket gør det sværere for andre at spore dem.
Trusselsaktørens adresse påberåbte sig senere transaktionen for at godkende DAI over for SwapGuard, hvilket fik SwapGuard til at overføre DAI fra CoW's Swap-afviklingskontrakt til en række forskellige adresser.
Selvom CoW Swap endnu ikke har udgivet en officiel erklæring om sagen, hævder protokollens udviklere, at de allerede arbejder på sårbarheden. Protokollen sagde også, at forligskontrakten for udnyttelsen kun kan få adgang til de gebyrer, der er blevet opkrævet af protokollen inden for en uges tid, med brugermidler sikre, givet hvordan disse kun kan underskrives gennem en ordre udført af en bruger. CoW Swaps team forsikrede brugerne om, at deres konti ville forblive upåvirket af udnyttelsen, og tilføjede, at de ikke var forpligtet til at tilbagekalde nogen forudgående godkendelser.
Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb