CoW (naključje želja) Protokol , decentralizirana finančna platforma, na kateri je zgrajen CoW Swap, je utrpela napad z več podpisi na svojo poravnalno pametno pogodbo.
Razkritje grožnje je prvi objavil MevRefund, raziskovalec varnosti blockchain in heker whitehat.
@CoWSwap zdi se, da vaša sredstva bežijo stran ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februar 7, 2023
Revizijsko podjetje za varnost blokovnih verig PeckShield je pozneje potrdilo izkoriščanje in objavilo razkritje na Twitterju.
Zdi se (1) @CoWSwapPogodba GPv2Settlement uporabnika je bila pred 10 dnevi prevarana, da odobri SwapGuard za porabo DAI in (2) SwapGuard je bil pravkar sprožen za prenos DAI iz GPv2Settlement. Tukaj sta dva povezana tx-ja: https://t.co/Tb8Sk5xqMR in https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februar 7, 2023
Dodatne podrobnosti o izkoriščanju so bile pojasnil BlockSec, revizijsko podjetje za pametne pogodbe. Glede na BlockSec je bil naslov denarnice akterja grožnje dodan kot »reševalec« CoW Swap prek multisig.
Multisig je vrsta kripto-varnostnega ukrepa, pri katerem je za odobritev transakcije potreben kriptografski podpis več strank. Napadalec je nato uporabil ta dostop, da je sprožil pametno pogodbo za poravnavo in izčrpal 550 BNB v Tornado Cash, kripto anonimni lijak, ki uporabnikom omogoča maskiranje transakcij, zaradi česar jih kdo drug težje izsledi.
Naslov akterja grožnje je pozneje sprožil transakcijo, da bi odobril DAI proti SwapGuardu, zaradi česar je SwapGuard prenesel DAI iz pogodbe o poravnavi Swap podjetja CoW na več različnih naslovov.
Čeprav CoW Swap še ni izdal uradne izjave o tej zadevi, razvijalci protokola trdijo, da že delajo na ranljivosti. Protokol je tudi povedal, da lahko pogodba o poravnavi izkoriščanja dostopa samo do nadomestil, ki jih je protokol zbral v roku enega tedna, pri čemer so sredstva uporabnika varna, glede na to, da jih je mogoče podpisati le z naročilom, ki ga izvede uporabnik. Ekipa CoW Swap je uporabnikom zagotovila, da izkoriščanje ne bo vplivalo na njihove račune, in dodala, da jim ni treba preklicati nobenih predhodnih odobritev.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb