Decentralizovaný burzový agregátor CoW Swap utrpel veľký hack, pričom útočník podľa bezpečnostných firiem PeckShield a BlockSec získal prostriedky vo výške viac ako 180,000 XNUMX dolárov.
Cieľom CoW Swapu ako agregátora decentralizovaných búrz (DEX) je poskytnúť používateľom najlepšie ceny na decentralizovaných burzách. Hacker sa však zameral na jeho inteligentnú zmluvu o vysporiadaní obchodu, GPv2Setlement, aby odčerpal finančné prostriedky.
PeckShield odhadol, že útočník odčerpal DAI v hodnote približne 180,000 551 dolárov z CoW Swap predtým, ako nasmeroval prostriedky cez Tornado Cash, aby získal 2 BNB. Útok bol zameraný na GPv2Setlement, inteligentný kontrakt na vyrovnanie obchodu, ktorý je súčasťou protokolu CoW Swap alpha (GPvXNUMX).
Zdá sa, že útočník oklamal vlastníka zmluvy GPv2Settlement, aby schválil použitie SwapGuard, čo zvyčajne nie je povolené.
Podľa PeckShield je SwapGuard druhou zmluvou, ktorú CoW Swap používa na pomoc a overenie výsledkov swapov. Toto schválenie mohlo prispieť k úspechu útoku, pretože SwapGuard umožňuje ľubovoľné volania funkcií. V kontexte inteligentných zmlúv umožňujú ľubovoľné volania funkcií komukoľvek s prístupom k zmluve vykonávať akúkoľvek funkciu v rámci jej kódu.
Hovorca BlockSec pre The Block povedal, že v zmluve je funkcia SwapGuard, ktorá dokáže previesť peniaze na akúkoľvek adresu. Útočník sa dovolával verejnej funkcie na prenos DAI do ich adresa.
Tím CoW Swap povedal že zmluva o vysporiadaní, ktorá bola zneužitá, má prístup len k poplatkom vybraným protokolom za týždeň a že hacker nemohol priamo získať prístup k finančným prostriedkom používateľa.
© 2023 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss