COW Swap Protocol Exploit Drains 550 BNB

Govs (vēlmju sakritība) Protokols , decentralizētā finanšu platforma, uz kuras tiek veidota CoW Swap, ir cietusi no vairāku iemeslu uzbrukuma tās norēķinu viedajam līgumam.

Pirmo reizi draudu izpaušanu publicēja MevRefund, blokķēdes drošības pētnieks un hakeris Whitehat.

@CoWSwap šķiet, ka jūsu līdzekļi zūd…https://t.co/li1NkXNeUp

— MevRefund (@MevRefund) Februāris 7, 2023

Blockchain drošības audita firma PeckShield vēlāk apstiprināja izmantošanu, publicējot izpaušanu Twitter.

Šķiet (1) @CoWSwapUzņēmuma GPv2Settlement līgums tika maldināts pirms 10 dienām, lai apstiprinātu SwapGuard DAI tēriņiem, un (2) SwapGuard tikko tika aktivizēts, lai izņemtu DAI no GPv2Settlement. Šeit ir divi saistītie txs: https://t.co/Tb8Sk5xqMR un https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz

- PeckShield Inc. (@peckshield) Februāris 7, 2023

Sīkāka informācija par ekspluatāciju bija paskaidroja BlockSec, vieda līgumu auditorfirma. Saskaņā ar BlockSec, draudu aktiera maka adrese tika pievienota kā CoW Swap “risinātājs”, izmantojot multisig.

Multisig ir kriptogrāfijas drošības pasākuma veids, kurā, lai apstiprinātu darījumu, ir nepieciešams vairāk nekā vienas puses kriptogrāfiskais paraksts. Pēc tam uzbrucējs izmantoja šo piekļuvi, lai aktivizētu norēķinu viedo līgumu un iepludinātu 550 BNB Tornado Cash — kriptogrāfijas anonimitātes piltuvē, kas lietotājiem ļauj maskēt darījumus, padarot tos izsekot citiem grūtāk.

Draudi aktiera adrese vēlāk atsaucās uz darījumu, lai apstiprinātu DAI attiecībā uz SwapGuard, liekot SwapGuard pārsūtīt DAI no CoW mijmaiņas norēķinu līguma uz vairākām dažādām adresēm.

Lai gan CoW Swap vēl nav izlaidusi oficiālu paziņojumu par šo jautājumu, protokola izstrādātāji apgalvo, ka viņi jau strādā pie ievainojamības. Protokolā arī teikts, ka ekspluatācijas norēķinu līgums var piekļūt tikai tām maksām, kas ir iekasētas ar protokolu nedēļas laikā, ja lietotāja līdzekļi ir drošībā, ņemot vērā to, ka tos var parakstīt tikai ar lietotāja izpildītu pasūtījumu. CoW Swap komanda pārliecināja lietotājus, ka ekspluatācija neietekmēs viņu kontus, piebilstot, ka viņiem nav jāatsauc nekādi iepriekšējie apstiprinājumi.

Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu.