Decentralizovaný burzovní agregátor CoW Swap utrpěl velký hack, přičemž útočník podle bezpečnostních firem PeckShield a BlockSec vydělal více než 180,000 XNUMX dolarů ve finančních prostředcích.
Jako agregátor decentralizované burzy (DEX) je cílem CoW Swapu poskytovat uživatelům nejlepší ceny na decentralizovaných burzách. Hacker však zacílil na jeho smart kontrakt na vypořádání obchodu, GPv2Setlement, aby odčerpal finanční prostředky.
PeckShield odhadl, že útočník odčerpal z CoW Swapu DAI v hodnotě zhruba 180,000 551 USD, než nasměroval prostředky přes Tornado Cash, aby získal 2 BNB. Útok se zaměřoval na GPv2Setlement, inteligentní smlouvu o vypořádání obchodu, která je součástí protokolu CoW Swap alpha (GPvXNUMX).
Zdá se, že útočník oklamal vlastníka smlouvy GPv2Settlement, aby schválil použití SwapGuard, což obvykle není povoleno.
Podle PeckShield je SwapGuard druhou smlouvou, kterou CoW Swap používá k asistenci a ověřování výsledků swapů. Toto schválení mohlo přispět k úspěchu útoku, protože SwapGuard umožňuje volání libovolných funkcí. V kontextu inteligentních smluv umožňují libovolné volání funkcí komukoli s přístupem ke smlouvě provést jakoukoli funkci v jejím kódu.
Mluvčí BlockSec řekl The Block, že ve smlouvě je funkce SwapGuard, která může převádět peníze na jakoukoli adresu. Útočník vyvolal veřejnou funkci, aby přenesl DAI do jejich adresa.
Tým CoW Swap řekl že smlouva o vypořádání, která byla zneužita, má přístup pouze k poplatkům vybraným protokolem za týden a že hacker nebyl schopen přímo získat přístup k uživatelským prostředkům.
© 2023 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss