Agregator decentralizirane razmjene CoW Swap pretrpio je veliki hak, a napadač je pobjegao s više od 180,000 dolara sredstava, prema sigurnosnim tvrtkama PeckShield i BlockSec.
Kao agregator decentralizirane razmjene (DEX), cilj CoW Swapa je pružiti korisnicima najbolje cijene na decentraliziranim razmjenama. Međutim, haker je ciljao njegov pametni ugovor o trgovinskoj nagodbi, GPv2Settlement, kako bi iscrpio sredstva.
PeckShield je procijenio da je napadač iscrpio DAI u vrijednosti od oko 180,000 USD iz CoW Swapa prije nego što je sredstva preusmjerio kroz Tornado Cash kako bi dobio 551 BNB. Napad je bio usmjeren na GPv2Settlement, pametni ugovor o trgovinskoj nagodbi koji je dio protokola CoW Swap alpha (GPv2).
Čini se da je napadač prevario vlasnika ugovora GPv2Settlement da odobri korištenje SwapGuarda, što inače nije dopušteno.
Prema PeckShieldu, SwapGuard je drugi ugovor koji koristi CoW Swap za pomoć i potvrdu rezultata zamjene. Ovo je odobrenje moglo pridonijeti uspjehu napada, jer SwapGuard dopušta proizvoljne pozive funkcija. U kontekstu pametnih ugovora, proizvoljni pozivi funkcija omogućuju svakome tko ima pristup ugovoru da izvrši bilo koju funkciju unutar njegovog koda.
Glasnogovornik BlockSeca rekao je za The Block da postoji funkcija u ugovoru SwapGuard koja može prenijeti novac na bilo koju adresu. Napadač se pozvao na javnu funkciju kako bi prenio DAI u svoju adresa.
CoW Swap tim , rekao je da ugovor o nagodbi koji je iskorišten ima pristup samo naknadama prikupljenim protokolom u tjedan dana i da haker nije mogao izravno pristupiti sredstvima korisnika.
© 2023. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss