Den desentraliserte børsaggregatoren CoW Swap fikk et stort hack, og angriperen tok av med over $180,000 XNUMX i midler, ifølge sikkerhetsfirmaene PeckShield og BlockSec.
Som en desentralisert børs (DEX) aggregator, er CoW Swaps mål å gi brukere de beste prisene på tvers av desentraliserte børser. Imidlertid målrettet en hacker sin smarte kontrakt for handelsoppgjør, GPv2Settlement, for å tappe penger.
PeckShield estimerte at angriperen tappet DAI verdt rundt 180,000 551 dollar fra CoW Swap før han dirigerte midlene gjennom Tornado Cash for å oppnå 2 BNB. Angrepet var rettet mot GPv2Settlement, en smart kontrakt for handelsoppgjør som er en del av CoW Swap alpha (GPvXNUMX)-protokollen.
Det ser ut til at angriperen lurte eieren av GPv2Settlement-kontrakten til å godkjenne bruken av SwapGuard, som normalt ikke er tillatt.
I følge PeckShield er SwapGuard en andre kontrakt som brukes av CoW Swap for å hjelpe og validere bytteresultater. Denne godkjenningen kan ha bidratt til suksessen til angrepet, ettersom SwapGuard tillater vilkårlige funksjonskall. I sammenheng med smarte kontrakter lar vilkårlige funksjonskall alle med tilgang til kontrakten utføre en hvilken som helst funksjon i koden.
En BlockSec-talsperson fortalte The Block at det er en funksjon i kontrakten SwapGuard som kan overføre penger til hvilken som helst adresse. Angriperen påkalte den offentlige funksjonen for å overføre DAI til deres adresse.
CoW Swap-teamet sa at oppgjørskontrakten som ble utnyttet kun har tilgang til gebyrene som kreves inn av protokollen i løpet av en uke, og at hackeren ikke klarte å få direkte tilgang til brukermidler.
© 2023 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
Kilde: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss