Tehén (a vágyak egybeesése) Protokoll , a decentralizált pénzügyi platform, amelyre a CoW Swap épül, multisig támadást szenvedett elszámolási intelligens szerződése ellen.
A fenyegetést először a MevRefund, egy blokklánc-biztonsági kutató és whitehat hacker tette közzé.
@CoWSwap úgy tűnik, hogy a pénzed elfogy…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Február 7, 2023
A Blockchain biztonsági könyvvizsgáló cég, a PeckShield később megerősítette a visszaélést, és közzétette a Twitteren.
Úgy tűnik (1) @CoWSwapA GPv2Settlement szerződését 10 napja becsapták, hogy jóváhagyják a SwapGuard-ot a DAI-költésekre, és (2) a SwapGuard-ot éppen a DAI-nak a GPv2Settlementből való áthelyezése miatt váltották ki. Íme a két kapcsolódó tx: https://t.co/Tb8Sk5xqMR és a https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Február 7, 2023
További részletek a kizsákmányolással kapcsolatban voltak magyarázta a BlockSec, egy intelligens szerződések könyvvizsgáló cége. A BlockSec szerint a fenyegetés szereplőjének pénztárcacímét a CoW Swap „megoldójaként” adták hozzá egy multisig-en keresztül.
A multisig egy olyan kriptobiztonsági intézkedés, amelyben egynél több fél kriptográfiai aláírása szükséges a tranzakció jóváhagyásához. A támadó ezután ezt a hozzáférést arra használta, hogy elindítsa az elszámolási intelligens szerződést, és 550 BNB-t ürítsen a Tornado Cash-be, egy kripto-anonimitást biztosító tölcsérbe, amely lehetővé teszi a felhasználók számára a tranzakciók elfedését, megnehezítve azok nyomon követését.
A fenyegetés szereplőjének címe később hivatkozott a tranzakcióra, hogy jóváhagyja a DAI-t a SwapGuard felé, ami arra késztette a SwapGuard-ot, hogy a DAI-t áthelyezze a CoW Swap-elszámolási szerződéséből számos különböző címre.
Bár a CoW Swap még nem adott ki hivatalos közleményt az ügyben, a protokoll fejlesztői azt állítják, hogy már dolgoznak a sérülékenységen. A jegyzőkönyvben az is szerepelt, hogy a kiaknázási szerződésben csak a protokoll által beszedett díjak férhetnek hozzá egy héten belül, a felhasználói pénzeszközök biztonsága mellett, tekintettel arra, hogy ezeket csak a felhasználó által végrehajtott megbízással lehet aláírni. A CoW Swap csapata megnyugtatta a felhasználókat, hogy fiókjukat nem érinti a visszaélés, hozzátéve, hogy semmilyen előzetes jóváhagyást nem kell visszavonniuk.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb