Na-hack ang CoW Swap Dex – Ang Kailangan Mong Malaman

Isang hacker ang nagnakaw ng mahigit $180,000 na halaga ng cryptocurrency mula sa desentralisadong palitan, ang CoW Swap, sa pinakabagong pagsasamantala sa DeFi. Tinarget ng attacker ang isang matalinong kontrata sa “solver competition” ng CoW Swap at inubos ang isang kontrata sa pag-areglo na may hawak na pitong araw na halaga ng mga bayarin sa protocol. Ang pagnanakaw ay kinumpirma ng CoW Swap, ngunit tiniyak ng koponan na ang protocol o ang mga gumagamit nito ay hindi nakaranas ng anumang pagkawala. Paano eksaktong nangyari ang pag-hack ng CoW Swap?

Sinabi ng CoW Swap na hindi cryptocurrencies ay ninakaw mula sa protocol o sa mga gumagamit nito at na ang bono ng solver ay sasakupin ang mga pinsala, ibig sabihin, ang protocol ay hindi dumanas ng anumang direktang pagkawala mula sa pagsasamantala.

“Kagabi, pinagsamantalahan ng isang hacker ang isang panlabas na solver at ginamit ito upang maubos ang kontrata ng settlement, na nagtataglay ng 7 araw na halaga ng mga bayarin sa protocol. Ang mga gumagamit ay hindi apektado dahil hindi kami kailanman humahawak ng mga pondo ng gumagamit (!) Ni ang Cow Swap ay hindi apektado: Ang bono ng solver ay magbabayad para sa lahat ng mga pinsala,” Tweeted CoW Swap noong Pebrero 7.

Basahin ang thread na ito para sa karagdagang impormasyon sa kaganapan ngayon 👉 https://t.co/biO6o7u0Zf

at itong mas detalyadong post mortem 👉 https://t.co/8wRqIJuWs5

— CoW Swap | Mas mahusay kaysa sa pinakamahusay na mga presyo (@CoWSwap) Pebrero 7, 2023

Paano Nangyari ang CoW Swap

Ang pag-atake, na nakita ng blockchain investigator MevRefund nakita ng hacker na pinagsamantalahan ang isang panlabas na solver upang maubos ang kontrata ng settlement na naglalaman ng mga bayarin sa protocol, na nagkakahalaga ng humigit-kumulang $180,000.

Inihayag ng CoW Swap na ang isang panlabas na solver ay ginamit ng hacker upang alisin ang laman crypto ang kanilang kontrata sa pag-areglo, na nagtataglay ng pitong araw na halaga ng mga singil sa protocol. Kinakalkula ng blockchain analysis firm ng Nansen na humigit-kumulang $180,000 ang ninakaw at inilagay sa dalawang wallet na may $123,000 DAI, $50,00 BNB, at isa pang $7,400 ETH.

Ang block headline, "DEX aggregator CoW Swap ay naging biktima ng $180,000 hack", ay nagpapahiwatig pa rin ng mga pondo ng mga user na nawala.

Ang mga pondo ng gumagamit ay hindi kailanman nasa panganib. Anumang pagkakataon ay maaari nating mabago ang pamagat na ito @mambabatas @fintechfrank para sa pinabuting katumpakan???

— Rafa (@Grizzlyshort) Pebrero 7, 2023

Ang CoW Swap ay nakikibahagi sa isang “solver competition” kung saan ang mga panlabas na partido ay nakikipagkumpitensya para sa pinakamahusay na ruta ng pagpapatupad para sa kanilang mga user. Ang hacker ay pumasok sa kumpetisyon sampung araw na ang nakakaraan at pinagsamantalahan ang matalinong kontrata, na nagpapahintulot para sa mga paglilipat mula sa kontrata ng pag-areglo.

Pagkatapos ay pinalitaw ng umaatake ang kontrata ng DEX GPv2Settlement upang ilipat ang DAI mula sa kontrata ng GPv2Settlement. Sinabi ng CoW Swap na ang mga pag-apruba para sa masamang kontrata ay binawi na.

Kinalaunan noong Pebrero 7, nagpadala ang CoW Swap ng update sa CoW Swap hack, na nagsasabing, “Ang barter solver na na-hack ngayon ay ibinalik ang mga pagkalugi na dulot nito, at ang mga susunod na hakbang ay para sa CoW DAO "upang magpasya sa proseso ng pag-slash at upang hatulan kung ang Barter Solver ay maaaring muling idagdag sa solver competition."

Update sa solver hack ngayon:

Ang barter solver na na-hack ngayon ay nag-refund na sa mga pagkalugi na dulot nito: https://t.co/nbLl45ZbIM

Ang mga susunod na hakbang para sa CoW DAO ay ang magpasya sa proseso ng paglaslas at upang hatulan kung ang Barter Solver ay maaaring muling idagdag sa solver competition.

— CoW Swap | Mas mahusay kaysa sa pinakamahusay na mga presyo (@CoWSwap) Pebrero 7, 2023