COW Swap Protocol Exploit Drains 550 BNB

COW (soovide kokkulangevus) Protokoll , detsentraliseeritud finantsplatvorm, mille peale CoW Swap on ehitatud, on kannatanud mitmekordse rünnaku all oma arvelduslepingule.

Ohu avalikustas esmakordselt MevRefund, plokiahela turvalisuse uurija ja whitehat häkker.

@COWSwap näib, et teie raha on kadunud ...https://t.co/li1NkXNeUp

— MevRefund (@MevRefund) Veebruar 7, 2023

Blockchaini turvaaudiitorfirma PeckShield kinnitas hiljem ärakasutamist, avaldades avalikustamise Twitteris.

Tundub (1) @COWSwapGPv2Settlementi lepingut peteti 10 päeva tagasi, et anda SwapGuardile heakskiit DAI kulutuste jaoks ja (2) SwapGuard käivitati just selleks, et viia DAI GPv2Settlementist välja. Siin on kaks seotud tx-i: https://t.co/Tb8Sk5xqMR ja https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz

- PeckShield Inc. (@peckshield) Veebruar 7, 2023

Täiendavad üksikasjad ekspluateerimise kohta olid selgitas BlockSec, nutikas lepingute audiitorfirma. BlockSeci andmetel lisati ohunäitleja rahakoti aadress CoW Swapi "lahendajana" multisigi kaudu.

Multisig on teatud tüüpi krüptoturvameede, mille puhul on tehingu kinnitamiseks vaja rohkem kui ühe osapoole krüptoallkirja. Seejärel kasutas ründaja seda juurdepääsu, et käivitada arveldustark leping ja suunata 550 BNB Tornado Cashi, krüptoanonüümsuslehtrisse, mis võimaldab kasutajatel tehinguid maskeerida, muutes teiste jaoks nende jälgimise raskemaks.

Ohutegija aadress kutsus hiljem tehingu esile, et kinnitada DAI-d SwapGuardi suhtes, ajendades SwapGuardit kandma DAI CoW vahetuslepingu arvelduslepingust mitmele erinevale aadressile.

Kuigi CoW Swap pole selle kohta veel ametlikku avaldust avaldanud, väidavad protokolli arendajad, et nad juba töötavad haavatavuse kallal. Protokollis oli ka kirjas, et ärakasutamise arvelduslepingus pääseb ligi vaid nädala jooksul protokolliga kogutud tasudele, kui kasutaja raha on turvatud, arvestades, et neid saab allkirjastada ainult kasutaja poolt sooritatud korraldusega. CoW Swapi meeskond kinnitas kasutajatele, et ärakasutamine ei mõjuta nende kontosid, lisades, et nad ei pea ühtegi eelnevat kinnitust tühistama.

Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.