Saskaņā ar drošības firmu PeckShield un BlockSec datiem, decentralizētais biržu apkopotājs CoW Swap cieta lielu uzlaušanu, un uzbrucējs ieguva vairāk nekā 180,000 XNUMX USD.
Kā decentralizētas biržas (DEX) apkopotājs CoW Swap mērķis ir nodrošināt lietotājiem vislabākās cenas decentralizētajās biržās. Tomēr hakeris mērķēja uz savu tirdzniecības norēķinu viedo līgumu GPv2Settlement, lai iztukšotu līdzekļus.
PeckShield lēsa, ka uzbrucējs no CoW Swap noņēma DAI aptuveni 180,000 551 USD vērtībā, pirms novirzīja līdzekļus caur Tornado Cash, lai iegūtu 2 BNB. Uzbrukums bija vērsts uz GPv2Settlement, tirdzniecības norēķinu viedo līgumu, kas ir daļa no CoW Swap alfa (GPvXNUMX) protokola.
Šķiet, ka uzbrucējs piemānīja GPv2Settlement līguma īpašnieku, lai tas apstiprinātu SwapGuard izmantošanu, kas parasti nav atļauta.
Saskaņā ar PeckShield, SwapGuard ir otrais līgums, ko izmanto CoW Swap, lai palīdzētu un apstiprinātu mijmaiņas darījumu rezultātus. Šis apstiprinājums, iespējams, veicināja uzbrukuma panākumus, jo SwapGuard pieļauj patvaļīgus funkciju izsaukumus. Viedo līgumu kontekstā patvaļīgi funkciju izsaukumi ļauj ikvienam, kam ir piekļuve līgumam, izpildīt jebkuru funkciju tā kodā.
BlockSec pārstāvis teica The Block, ka līgumā SwapGuard ir funkcija, kas var pārskaitīt naudu uz jebkuru adresi. Uzbrucējs izmantoja publisko funkciju, lai pārsūtītu DAI uz viņu adrese.
CoW Swap komanda teica ka izmantotajam norēķinu līgumam ir piekļuve tikai nedēļas laikā protokolā iekasētajām maksām un ka hakeris nevarēja tieši piekļūt lietotāja līdzekļiem.
© 2023 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss