Па дадзеных ахоўных фірмаў PeckShield і BlockSec, дэцэнтралізаваны абменны агрэгатар CoW Swap пацярпеў ад сур'ёзнага ўзлому, зламыснік атрымаў больш за 180,000 XNUMX долараў ЗША.
Як агрэгатар дэцэнтралізаванай біржы (DEX), мэта CoW Swap - прадастаўляць карыстальнікам лепшыя цэны на дэцэнтралізаваных біржах. Аднак хакер накіраваў смарт-кантракт GPv2Settlement на разлікі па гандлі, каб зліць сродкі.
PeckShield падлічыў, што зламыснік зліў DAI на суму каля 180,000 551 долараў з CoW Swap, перш чым накіраваць сродкі праз Tornado Cash, каб атрымаць 2 BNB. Атака была накіравана на GPv2Settlement, смарт-кантракт гандлёвых разлікаў, які з'яўляецца часткай пратаколу CoW Swap alpha (GPvXNUMX).
Падобна на тое, што зламыснік падманам прымусіў уладальніка кантракту GPv2Settlement ухваліць выкарыстанне SwapGuard, што звычайна забаронена.
Згодна з PeckShield, SwapGuard - гэта другі кантракт, які выкарыстоўваецца CoW Swap для дапамогі і праверкі вынікаў абмену. Гэта адабрэнне магло паспрыяць поспеху атакі, бо SwapGuard дазваляе адвольныя выклікі функцый. У кантэксце смарт-кантрактаў адвольныя выклікі функцый дазваляюць любому, хто мае доступ да кантракту, выконваць любую функцыю ў яго кодзе.
Прадстаўнік BlockSec паведаміў The Block, што ў кантракце SwapGuard ёсць функцыя, якая можа пераводзіць грошы на любы адрас. Зламыснік задзейнічаў публічную функцыю, каб перадаць DAI у іх адрас.
Каманда CoW Swap сказаў што кантракт на разлік, які быў эксплуатаваны, мае доступ толькі да збораў, сабраных пратаколам за тыдзень, і што хакер не змог атрымаць прамы доступ да сродкаў карыстальніка.
© 2023 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.
Крыніца: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss