Turvafirmade PeckShield ja BlockSec andmetel sai detsentraliseeritud börsi koondaja CoW Swap kannatada suure häkkimise all, kuna ründaja sai üle 180,000 XNUMX dollari raha.
Detsentraliseeritud börsi (DEX) koondajana on CoW Swapi eesmärk pakkuda kasutajatele parimaid hindu detsentraliseeritud börsides. Häkker võttis aga sihikule oma kaubandusarvelduse nutika lepingu GPv2Settlement, et raha ära kulutada.
PeckShield hindas, et ründaja kulutas CoW Swapist DAI-d ligikaudu 180,000 551 dollari väärtuses, enne kui raha suunati Tornado Cashi kaudu, et saada 2 BNB. Rünnak oli suunatud GPv2Settlementile, kaubanduse arveldamise nutikale lepingule, mis on osa CoW Swap alfa (GPvXNUMX) protokollist.
Näib, et ründaja pettis GPv2Settlementi lepingu omanikku, et ta nõustuks SwapGuardi kasutamisega, mis tavaliselt pole lubatud.
PeckShieldi sõnul on SwapGuard teine leping, mida CoW Swap kasutab vahetustehingu tulemuste abistamiseks ja kinnitamiseks. See heakskiit võis kaasa aidata rünnaku edule, kuna SwapGuard lubab suvalisi funktsioonikutseid. Nutikate lepingute kontekstis võimaldavad suvalised funktsioonikutsed kõigil, kellel on juurdepääs lepingule, täita mis tahes funktsiooni selle koodis.
BlockSeci pressiesindaja ütles The Blockile, et lepingus SwapGuard on funktsioon, mis võib raha kanda mis tahes aadressile. Ründaja kasutas DAI ülekandmiseks avalikku funktsiooni aadress.
CoW Swapi meeskond ütles et ärakasutatud arvelduslepingul on juurdepääs protokolliga kogutud tasudele vaid nädalaga ja häkker ei pääsenud otse kasutaja raha juurde.
© 2023 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss