Децентрализираният агрегатор за обмен CoW Swap е претърпял голям хак, като нападателят е избягал с над $180,000 XNUMX средства, според фирмите за сигурност PeckShield и BlockSec.
Като агрегатор за децентрализирана борса (DEX), целта на CoW Swap е да предостави на потребителите най-добрите цени в децентрализираните борси. Хакер обаче се насочи към неговия интелигентен договор за търговско сетълмент, GPv2Settlement, за да източи средства.
PeckShield изчисли, че нападателят е източил DAI на стойност около $180,000 551 от CoW Swap, преди да насочи средствата през Tornado Cash, за да получи 2 BNB. Атаката беше насочена към GPv2Settlement, интелигентен договор за търговски сетълмент, който е част от протокола CoW Swap alpha (GPvXNUMX).
Изглежда, че нападателят е подмамил собственика на договора GPv2Settlement да одобри използването на SwapGuard, което обикновено не е разрешено.
Според PeckShield, SwapGuard е втори договор, използван от CoW Swap за подпомагане и валидиране на резултатите от суапа. Това одобрение може да е допринесло за успеха на атаката, тъй като SwapGuard позволява произволни извиквания на функции. В контекста на интелигентните договори произволните извиквания на функции позволяват на всеки с достъп до договора да изпълни всяка функция в неговия код.
Говорител на BlockSec каза пред The Block, че има функция в договора SwapGuard, която може да прехвърля пари на всеки адрес. Нападателят се позова на публичната функция, за да прехвърли DAI в тях адрес.
Екипът на CoW Swap каза че договорът за сетълмент, който е бил използван, има достъп само до таксите, събрани от протокола за една седмица, и че хакерът не е успял да получи директен достъп до средствата на потребителите.
© 2023 The Block Crypto, Inc. Всички права запазени. Тази статия е предоставена само за информационни цели. Не се предлага или не се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss