Apsaugos firmų „PeckShield“ ir „BlockSec“ duomenimis, decentralizuotas biržų agregatorius „Cow Swap“ patyrė didelį įsilaužimą – užpuolikas gavo daugiau nei 180,000 XNUMX USD lėšų.
Kaip decentralizuotų biržų (DEX) agregato, CoW Swap tikslas yra teikti vartotojams geriausias kainas decentralizuotose biržose. Tačiau įsilaužėlis nukreipė savo prekybos atsiskaitymo išmaniąją sutartį GPv2Settlement, kad nusausintų lėšas.
„PeckShield“ apskaičiavo, kad užpuolikas iš „Cow Swap“ išleido maždaug 180,000 551 USD vertės DAI, prieš nukreipdamas lėšas per „Tornado Cash“, kad gautų 2 BNB. Ataka buvo nukreipta į GPv2Settlement, prekybos atsiskaitymo išmaniąją sutartį, kuri yra CoW Swap alfa (GPvXNUMX) protokolo dalis.
Atrodo, kad užpuolikas apgaule apgavo GPv2Settlement sutarties savininką, kad šis patvirtintų SwapGuard naudojimą, o tai paprastai neleidžiama.
Pasak „PeckShield“, „SwapGuard“ yra antroji sutartis, kurią „CoW Swap“ naudoja, kad padėtų ir patvirtintų apsikeitimo rezultatus. Šis patvirtinimas galėjo prisidėti prie atakos sėkmės, nes „SwapGuard“ leidžia savavališkus funkcijų iškvietimus. Išmaniųjų sutarčių kontekste savavališki funkcijų iškvietimai leidžia visiems, turintiems prieigą prie sutarties, vykdyti bet kurią jos kodo funkciją.
„BlockSec“ atstovas „The Block“ sakė, kad sutartyje „SwapGuard“ yra funkcija, kuri gali pervesti pinigus bet kuriuo adresu. Užpuolikas pasinaudojo vieša funkcija perkelti DAI į savo adresas.
„COW Swap“ komanda sakė kad išnaudota atsiskaitymo sutartis turi prieigą prie protokolo surinktų mokesčių tik per savaitę ir kad įsilaužėlis negalėjo tiesiogiai pasiekti vartotojo lėšų.
© 2023 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss