CoW (slučajnost želja) Protokol , decentralizirana financijska platforma na kojoj je izgrađen CoW Swap, pretrpjela je multisig napad na svoj pametni ugovor za nagodbu.
Otkrivanje prijetnje prvi je objavio MevRefund, istraživač sigurnosti blockchaina i whitehat haker.
@CoWSwap čini se da vaša sredstva nestaju...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Veljače 7, 2023
Tvrtka za reviziju sigurnosti blokovskih lanaca PeckShield kasnije je potvrdila eksploataciju, objavivši to otkriće na Twitteru.
Čini se (1) @CoWSwapUgovor o GPv2Settlementu prijevaren je prije 10 dana kako bi se odobrio SwapGuard za DAI potrošnju i (2) SwapGuard je upravo pokrenut za prijenos DAI-ja s GPv2Settlementa. Evo dva povezana tx-a: https://t.co/Tb8Sk5xqMR i https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Veljače 7, 2023
Daljnji detalji o iskorištavanju bili su objasnio BlockSec, tvrtka za reviziju pametnih ugovora. Prema BlockSecu, adresa novčanika aktera prijetnje dodana je kao "rješavač" CoW Swap-a putem multisig-a.
Multisig je vrsta kripto-sigurnosne mjere u kojoj je potreban kriptografski potpis više od jedne strane za odobrenje transakcije. Napadač je zatim iskoristio ovaj pristup za pokretanje pametnog ugovora za namirenje i isušio 550 BNB u Tornado Cash, kripto anonimni tok koji korisnicima omogućuje maskiranje transakcija, što otežava bilo kome da im uđe u trag.
Adresa aktera prijetnje kasnije je pokrenula transakciju kako bi odobrila DAI prema SwapGuardu, što je navelo SwapGuard da prenese DAI iz CoW-ovog Swap ugovora o nagodbi na više različitih adresa.
Iako CoW Swap još nije objavio službenu izjavu o tom pitanju, programeri protokola tvrde da već rade na ranjivosti. Protokol je također rekao da ugovor o nagodbi eksploatacije može pristupiti samo naknadama koje je protokol prikupio u roku od tjedan dana, sa sigurnim sredstvima korisnika, s obzirom na to da se ona mogu potpisati samo putem naloga koji je izvršio korisnik. Tim tvrtke CoW Swap uvjerio je korisnike da eksploatacija neće utjecati na njihove račune, dodajući da nisu dužni opozvati prethodna odobrenja.
Izjava o odricanju odgovornosti: Ovaj je članak dostupan samo u informativne svrhe. Ne nudi se niti se namjerava koristiti kao pravni, porezni, investicijski, financijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb