CoW Swap Protocol Exploit Drains 550 BNB

CoW (Koincidencia želaní) Protokol , decentralizovaná finančná platforma, na ktorej je postavený CoW Swap, utrpela multisig útokom na jej vyrovnanie smart contract.

Zverejnenie hrozby prvýkrát zverejnil MevRefund, výskumník v oblasti blockchainu a hacker whitehat.

@CoWSwap zdá sa, že vaše prostriedky miznú...https://t.co/li1NkXNeUp

— MevRefund (@MevRefund) Februára 7, 2023

Firma PeckShield zaoberajúca sa bezpečnostným auditom blockchainu neskôr zneužitie potvrdila a zverejnila zverejnenie na Twitteri.

Zdá sa (1) @CoWSwapZmluva GPv2Settlement bola pred 10 dňami oklamaná, aby schválila SwapGuard na výdavky DAI a (2) SwapGuard bol práve spustený na prevod DAI z GPv2Settlement. Tu sú dva súvisiace TX: https://t.co/Tb8Sk5xqMR a https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWizeOLzz

- PeckShield Inc. (@peckshield) Februára 7, 2023

Ďalšie podrobnosti o exploite boli vysvetlil BlockSec, inteligentná zmluvná audítorská firma. Podľa BlockSec bola adresa peňaženky aktéra hrozby pridaná ako „riešiteľ“ CoW Swap cez multisig.

Multisig je typ krypto-bezpečnostného opatrenia, pri ktorom sa na schválenie transakcie vyžaduje kryptografický podpis viacerých strán. Útočník potom použil tento prístup na spustenie inteligentného kontraktu na vyrovnanie a odčerpanie 550 BNB do Tornado Cash, kryptoanonymného lievika, ktorý používateľom umožňuje maskovať transakcie, čo sťažuje komukoľvek ich vystopovať.

Adresa aktéra hrozby neskôr vyvolala transakciu, aby schválila DAI voči SwapGuard, čo prinútilo SwapGuard previesť DAI zo zmluvy o vysporiadaní CoW swap na niekoľko rôznych adries.

Zatiaľ čo CoW Swap ešte nezverejnil oficiálne stanovisko k tejto záležitosti, vývojári protokolu tvrdia, že už na zraniteľnosti pracujú. V protokole sa tiež uvádzalo, že zmluva o vysporiadaní zneužitia môže pristupovať iba k poplatkom, ktoré boli inkasované protokolom do týždňa, pričom prostriedky používateľa sú zabezpečené, vzhľadom na to, že tieto môžu byť podpísané iba prostredníctvom príkazu vykonaného používateľom. Tím CoW Swap ubezpečil používateľov, že ich účty zostanú týmto exploitom nedotknuté, a dodal, že nie sú povinní odvolať žiadne predchádzajúce schválenia.

Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.