Ang desentralisadong exchange aggregator na CoW Swap ay dumanas ng malaking hack, kung saan ang umaatake ay nakakuha ng higit sa $180,000 na pondo, ayon sa mga security firm na PeckShield at BlockSec.
Bilang isang decentralized exchange (DEX) aggregator, ang layunin ng CoW Swap ay magbigay sa mga user ng pinakamahusay na presyo sa mga desentralisadong palitan. Gayunpaman, tinarget ng isang hacker ang matalinong kontrata nito sa trade settlement, GPv2Settlement, upang maubos ang mga pondo.
Tinantya ng PeckShield na naubos ng umatake ang humigit-kumulang $180,000 na halaga ng DAI mula sa CoW Swap bago iruta ang mga pondo sa pamamagitan ng Tornado Cash upang makakuha ng 551 BNB. Ang pag-atake ay naka-target sa GPv2Settlement, isang trade settlement smart contract na bahagi ng CoW Swap alpha (GPv2) protocol.
Lumilitaw na nilinlang ng umaatake ang may-ari ng kontrata ng GPv2Settlement sa pag-apruba sa paggamit ng SwapGuard, na karaniwang hindi pinahihintulutan.
Ayon sa PeckShield, ang SwapGuard ay isang pangalawang kontrata na ginagamit ng CoW Swap upang tulungan at patunayan ang mga resulta ng swap. Ang pag-apruba na ito ay maaaring nag-ambag sa tagumpay ng pag-atake, dahil pinapayagan ng SwapGuard ang mga arbitrary function na tawag. Sa konteksto ng mga matalinong kontrata, pinapayagan ng mga arbitrary function call ang sinumang may access sa kontrata na magsagawa ng anumang function sa loob ng code nito.
Sinabi ng tagapagsalita ng BlockSec sa The Block na mayroong function sa kontratang SwapGuard na maaaring maglipat ng pera sa anumang address. Hinikayat ng umaatake ang pampublikong function upang ilipat ang DAI sa kanilang tirahan.
Ang CoW Swap team sinabi na ang kontrata sa pag-areglo na pinagsamantalahan ay may access lamang sa mga bayarin na nakolekta ng protocol sa loob ng isang linggo at na hindi direktang na-access ng hacker ang mga pondo ng user.
© 2023 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss