CoW (супадзенне жаданняў) пратакол , дэцэнтралізаваная фінансавая платформа, на якой пабудаваны CoW Swap, пацярпела ад атакі з некалькімі падпіскамі на смарт-кантракт разлікаў.
Раскрыццё пагрозы было ўпершыню апублікавана MevRefund, даследчыкам бяспекі блокчейна і хакерам whitehat.
@CoWSwap вашы сродкі, здаецца, сыходзяць...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Люты 7, 2023
Аўдытарская фірма па бяспецы блокчейнов PeckShield пазней пацвердзіла эксплойт, апублікаваўшы інфармацыю ў Twitter.
Здаецца (1) @CoWSwapКантракт GPv2Settlement быў падмануты 10 дзён таму, каб зацвердзіць SwapGuard для выдаткаў DAI і (2) SwapGuard быў толькі што запушчаны для перадачы DAI з GPv2Settlement. Вось дзве звязаныя перадачы: https://t.co/Tb8Sk5xqMR і https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Люты 7, 2023
Дадатковыя падрабязнасці эксплойта былі растлумачыў BlockSec, аўдытарская фірма па смарт-кантрактах. Згодна з BlockSec, адрас кашалька акцёра пагрозы быў дададзены ў якасці «вырашальніка» CoW Swap праз multisig.
Multisig - гэта тып меры крыптаабароны, пры якім для зацвярджэння транзакцыі патрабуецца крыптаграфічны подпіс больш чым аднаго боку. Затым зламыснік выкарыстаў гэты доступ, каб запусціць разліковы смарт-кантракт і зліць 550 BNB у Tornado Cash, крыпта-ананімную варонку, якая дазваляе карыстальнікам маскіраваць транзакцыі, ускладняючы іх адсочванне іншым.
Пазней адрас суб'екта пагрозы ініцыяваў транзакцыю, каб зацвердзіць DAI для SwapGuard, што прымусіла SwapGuard перанесці DAI з дагавора разлікаў па Swap CoW на некалькі розных адрасоў.
У той час як CoW Swap яшчэ не выпусціла афіцыйнай заявы па гэтым пытанні, распрацоўшчыкі пратаколу сцвярджаюць, што яны ўжо працуюць над уразлівасцю. У пратаколе таксама гаварылася, што дагавор аб разліках эксплойта можа атрымаць доступ толькі да збораў, якія былі сабраныя пратаколам на працягу тыдня, пры гэтым сродкі карыстальніка бяспечныя, улічваючы, што яны могуць быць падпісаны толькі праз заказ, выкананы карыстальнікам. Каманда CoW Swap запэўніла карыстальнікаў, што эксплойт не закране іх уліковыя запісы, дадаўшы, што ад іх не патрабуецца адклікаць папярэднія дазволы.
Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.
Крыніца: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb