Po navedbah varnostnih podjetij PeckShield in BlockSec je decentralizirani menjalni agregator CoW Swap doživel velik vdor, pri čemer je napadalec pobegnil z več kot 180,000 $ sredstev.
Kot agregator decentralizirane borze (DEX) je cilj CoW Swap uporabnikom zagotoviti najboljše cene na decentraliziranih borzah. Vendar je heker ciljal na njegovo pametno pogodbo za trgovinsko poravnavo, GPv2Settlement, da bi črpal sredstva.
PeckShield je ocenil, da je napadalec izčrpal DAI v vrednosti približno 180,000 $ iz CoW Swap, preden je sredstva preusmeril prek Tornado Cash, da bi pridobil 551 BNB. Napad je bil usmerjen na GPv2Settlement, pametno pogodbo za trgovinsko poravnavo, ki je del protokola CoW Swap alpha (GPv2).
Zdi se, da je napadalec prevaral lastnika pogodbe GPv2Settlement, da je odobril uporabo SwapGuarda, kar običajno ni dovoljeno.
Glede na PeckShield je SwapGuard druga pogodba, ki jo uporablja CoW Swap za pomoč in potrjevanje rezultatov zamenjave. Ta odobritev je morda prispevala k uspehu napada, saj SwapGuard omogoča poljubne klice funkcij. V kontekstu pametnih pogodb poljubni klici funkcij omogočajo vsakomur, ki ima dostop do pogodbe, da izvede katero koli funkcijo znotraj njene kode.
Tiskovni predstavnik BlockSec je za The Block povedal, da je v pogodbi SwapGuard funkcija, ki lahko prenese denar na kateri koli naslov. Napadalec je sprožil javno funkcijo za prenos DAI v svoje Naslov.
Ekipa CoW Swap je dejal da ima poravnalna pogodba, ki je bila izkoriščena, dostop samo do provizij, ki jih je protokol zbral v enem tednu, in da heker ni mogel neposredno dostopati do sredstev uporabnikov.
© 2023 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss