CoW (Coincidence of Wants) Protokol , ang desentralisadong platform sa pananalapi kung saan itinayo ang CoW Swap, ay dumanas ng maraming pag-atake sa kanyang settlement smart contract.
Ang pagsisiwalat ng banta ay unang inilabas ng MevRefund, isang blockchain security researcher at whitehat hacker.
@CoWSwap ang iyong mga pondo ay lumilitaw na lumalayo ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Pebrero 7, 2023
Kalaunan ay kinumpirma ng Blockchain security auditing firm na PeckShield ang pagsasamantala, na isinasapubliko ang pagsisiwalat sa Twitter.
Parang (1) @CoWSwapAng kontrata ng GPv2Settlement ng GPv10Settlement ay nalinlang 2 araw na ang nakakaraan upang aprubahan ang SwapGuard para sa paggastos ng DAI at (2) Na-trigger lang ang SwapGuard na ilipat ang DAI mula sa GPvXNUMXSettlement. Narito ang dalawang kaugnay na tx: https://t.co/Tb8Sk5xqMR at https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Pebrero 7, 2023
Ang mga karagdagang detalye sa pagsasamantala ay ipinaliwanag ng BlockSec, isang smart contract auditing firm. Ayon sa BlockSec, idinagdag ang wallet address ng threat actor bilang “solver” ng CoW Swap sa pamamagitan ng multisig.
Ang multisig ay isang uri ng crypto-security measure kung saan higit sa isang cryptographic signature ng partido ang kinakailangan upang aprubahan ang isang transaksyon. Pagkatapos ay ginamit ng attacker ang access na ito para i-trigger ang settlement smart contract at ibuhos ang 550 BNB sa Tornado Cash, isang crypto anonymity funnel na nagbibigay-daan sa mga user na i-mask ang mga transaksyon, na ginagawang mas mahirap para sa sinuman na ma-trace sila.
Nang maglaon, tinawag ng address ng threat actor ang transaksyon upang maaprubahan ang DAI patungo sa SwapGuard, na nag-udyok sa SwapGuard na ilipat ang DAI mula sa kontrata ng Swap settlement ng CoW sa ilang iba't ibang mga address.
Bagama't hindi pa naglalabas ng opisyal na pahayag ang CoW Swap tungkol sa bagay na ito, sinasabi ng mga developer ng protocol na ginagawa na nila ang kahinaan. Sinabi rin ng protocol na ang kontrata ng pag-areglo ng pagsasamantala ay maaari lamang ma-access ang mga bayarin na nakolekta ng protocol sa loob ng isang linggo, na may secure na mga pondo ng user, kung paanong ang mga ito ay mapipirmahan lamang sa pamamagitan ng isang order na ipinatupad ng isang user. Tiniyak ng koponan ng CoW Swap sa mga user na ang kanilang mga account ay mananatiling hindi maaapektuhan ng pagsasamantala, at idinagdag na hindi sila kinakailangang bawiin ang anumang mga naunang pag-apruba.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb