A DEX aggregátor, a CoW Swap 180,000 XNUMX dolláros hack áldozatává válik

A PeckShield és a BlockSec biztonsági cégek szerint a decentralizált tőzsdei aggregátor, a CoW Swap komoly feltörést szenvedett el, a támadó több mint 180,000 XNUMX dolláros alappal keresett fel.

Decentralizált tőzsde (DEX) aggregátorként a CoW Swap célja, hogy a felhasználók számára a legjobb árakat biztosítsa a decentralizált tőzsdéken. Egy hacker azonban megcélozta a GPv2Settlement nevű okoskereskedelmi szerződését, hogy elszívja a pénzeket.

A PeckShield becslése szerint a támadó nagyjából 180,000 551 dollár értékű DAI-t merített ki a CoW Swapból, mielőtt a Tornado Cash-en keresztül 2 BNB-t kapott. A támadás a GPv2Settlement, egy kereskedelmi elszámolási intelligens szerződést célozta, amely a CoW Swap alfa (GPvXNUMX) protokoll része.

Úgy tűnik, hogy a támadó becsapta a GPv2Settlement szerződés tulajdonosát, hogy jóváhagyja a SwapGuard használatát, ami általában nem engedélyezett.

A PeckShield szerint a SwapGuard egy második szerződés, amelyet a CoW Swap használ a swap eredmények támogatására és érvényesítésére. Ez a jóváhagyás hozzájárulhatott a támadás sikeréhez, mivel a SwapGuard tetszőleges függvényhívásokat tesz lehetővé. Az intelligens szerződésekkel összefüggésben az tetszőleges függvényhívások lehetővé teszik, hogy bárki, aki hozzáfér a szerződéshez, bármilyen funkciót végrehajtson a kódon belül.  

A BlockSec szóvivője elmondta a The Blocknak, hogy a szerződésben van egy funkció a SwapGuardban, amely bármilyen címre utalhat pénzt. A támadó a nyilvános funkcióra hivatkozva a DAI-t a sajátjukba helyezte át cím.

A COW Swap csapata mondott hogy a kihasznált elszámolási szerződés csak a protokoll által egy hét alatt beszedett díjakhoz fér hozzá, és a hacker nem tudott közvetlenül hozzáférni a felhasználói pénzekhez.

© 2023 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.