CoW (Cancidence of Wants) Protokoll , den desentraliserte finansplattformen som CoW Swap er bygget over, har lidd under et multisig-angrep på sin smarte oppgjørskontrakt.
Trusselavsløringen ble først utgitt av MevRefund, en blockchain-sikkerhetsforsker og whitehat-hacker.
@CoWSwap pengene dine ser ut til å forsvinne...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februar 7, 2023
Blockchain-sikkerhetsrevisjonsfirmaet PeckShield bekreftet senere utnyttelsen, og offentliggjorde avsløringen på Twitter.
Det ser ut til (1) @CoWSwapGPv2Settlement-kontrakten til GPv10Settlement ble lurt for 2 dager siden for å godkjenne SwapGuard for DAI-utgifter og (2) SwapGuard ble nettopp utløst for å overføre DAI fra GPvXNUMXSettlement. Her er de to relaterte txene: https://t.co/Tb8Sk5xqMR og https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februar 7, 2023
Ytterligere detaljer om utnyttelsen var forklart av BlockSec, et smart kontraktsrevisjonsfirma. Ifølge BlockSec ble trusselaktørens lommebokadresse lagt til som en "løser" av CoW Swap via en multisig.
En multisig er en type kryptosikkerhetstiltak der det kreves mer enn én parts kryptografiske signatur for å godkjenne en transaksjon. Angriperen brukte deretter denne tilgangen til å utløse den smarte oppgjørskontrakten og tappe 550 BNB inn i Tornado Cash, en kryptoanonymitetstrakt som gjør det mulig for brukere å maskere transaksjoner, noe som gjør det vanskeligere for andre å spore dem.
Trusselaktørens adresse påkalte senere transaksjonen for å godkjenne DAI overfor SwapGuard, noe som fikk SwapGuard til å overføre DAI fra CoWs Swap-oppgjørskontrakt til en rekke forskjellige adresser.
Mens CoW Swap ennå ikke har gitt ut en offisiell uttalelse om saken, hevder utviklerne av protokollen at de allerede jobber med sårbarheten. Protokollen sa også at oppgjørskontrakten for utnyttelsen bare kan få tilgang til avgiftene som er samlet inn av protokollen innen en ukes tid, med brukermidler sikre, gitt hvordan disse kun kan signeres gjennom en ordre utført av en bruker. CoW Swaps team forsikret brukerne om at kontoen deres ville forbli upåvirket av utnyttelsen, og la til at de ikke var pålagt å tilbakekalle noen forhåndsgodkjenninger.
Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.
Kilde: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb