CoW (Съвпадение на желания) протокол , децентрализираната финансова платформа, върху която е изграден CoW Swap, е пострадала от мултисиг атака срещу нейния интелигентен договор за сетълмент.
Разкриването на заплахата беше публикувано за първи път от MevRefund, изследовател на сигурността на блокчейн и хакер на whitehat.
@CoWSwap средствата ви изглежда изчезват...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Февруари 7, 2023
Фирмата за одит на сигурността на блокчейн PeckShield по-късно потвърди експлойта, публикувайки разкритието в Twitter.
изглежда (1) @CoWSwapДоговорът за GPv2Settlement на GPv10Settlement беше измамен преди 2 дни, за да одобри SwapGuard за DAI разходи и (2) SwapGuard току-що беше задействан, за да прехвърли DAI от GPvXNUMXSettlement. Ето двата свързани txs: https://t.co/Tb8Sk5xqMR намлява https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Февруари 7, 2023
Допълнителни подробности за експлоатацията бяха обяснено от BlockSec, фирма за одит на интелигентни договори. Според BlockSec адресът на портфейла на заплахата е добавен като „разрешител“ на CoW Swap чрез мултисиг.
Multisig е вид мярка за крипто-сигурност, при която се изисква криптографски подпис на повече от една страна за одобряване на транзакция. След това нападателят използва този достъп, за да задейства интелигентния договор за сетълмент и да източи 550 BNB в Tornado Cash, фуния за крипто анонимност, която позволява на потребителите да маскират транзакции, което прави по-трудно за всеки друг да ги проследи.
Адресът на актьора на заплахата по-късно извика транзакцията, за да одобри DAI към SwapGuard, което подтикна SwapGuard да прехвърли DAI от договора за сетълмент на суап на CoW към редица различни адреси.
Докато CoW Swap все още не е публикувал официално изявление по въпроса, разработчиците на протокола твърдят, че вече работят по уязвимостта. Протоколът също така казва, че договорът за сетълмент на експлойта може да има достъп само до таксите, които са били събрани от протокола в рамките на една седмица, като потребителските средства са защитени, като се има предвид, че те могат да бъдат подписани само чрез поръчка, изпълнена от потребител. Екипът на CoW Swap увери потребителите, че акаунтите им ще останат незасегнати от експлойта, като добави, че от тях не се изисква да оттеглят предишни одобрения.
Отказ от отговорност: Тази статия е предоставена само с информационна цел. Той не се предлага или е предназначен да се използва като правен, данъчен, инвестиционен, финансов или друг съвет.
Източник: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb