CoW (Coincidența dorințelor) Protocol , platforma de finanțare descentralizată pe care este construită CoW Swap, a suferit un atac multisig asupra contractului său inteligent de decontare.
Dezvăluirea amenințării a fost lansată pentru prima dată de MevRefund, un cercetător de securitate blockchain și hacker.
@CoWSwap fondurile tale par să se îndepărteze...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) 7 Februarie 2023
Firma de audit al securității blockchain PeckShield a confirmat ulterior exploitul, publicând dezvăluirea pe Twitter.
Se pare (1) @CoWSwapContractul lui GPv2Settlement a fost păcălit acum 10 zile pentru a aproba SwapGuard pentru cheltuielile DAI și (2) SwapGuard tocmai a fost declanșat pentru a transfera DAI din GPv2Settlement. Iată cele două tx-uri asociate: https://t.co/Tb8Sk5xqMR și https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWizeOLzz
- PeckShield Inc. (@peckshield) 7 Februarie 2023
Mai multe detalii despre exploit au fost explicat de BlockSec, o firmă de audit smart contract. Potrivit BlockSec, adresa portofelului actorului amenințării a fost adăugată ca „solutor” al CoW Swap printr-un multisig.
Un multisig este un tip de măsură de cripto-securitate în care este necesară semnătura criptografică a mai multor părți pentru a aproba o tranzacție. Atacatorul a folosit apoi acest acces pentru a declanșa contractul inteligent de decontare și pentru a drena 550 BNB în Tornado Cash, o pâlnie cripto anonimă care permite utilizatorilor să mascheze tranzacțiile, făcând mai greu pentru oricine altcineva să le urmărească.
Adresa actorului amenințării a invocat ulterior tranzacția pentru a aproba DAI față de SwapGuard, ceea ce a determinat SwapGuard să transfere DAI din contractul de decontare Swap al CoW la un număr de adrese diferite.
Deși CoW Swap nu a lansat încă o declarație oficială în această privință, dezvoltatorii protocolului susțin că lucrează deja la această vulnerabilitate. Protocolul mai spunea că contractul de decontare a exploit-ului poate accesa taxele care au fost încasate prin protocol doar în termen de o săptămână, cu fondurile utilizatorilor securizate, dat fiind că acestea pot fi semnate doar printr-un ordin executat de un utilizator. Echipa CoW Swap a asigurat utilizatorii că conturile lor vor rămâne neafectate de exploit, adăugând că nu li se cere să revoce aprobările anterioare.
Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură.
Sursa: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb