Децентрализираниот агрегатор на размена CoW Swap претрпе голем хакирање, при што напаѓачот се оддалечи со средства од над 180,000 долари, според безбедносните фирми PeckShield и BlockSec.
Како агрегатор на децентрализирана размена (DEX), целта на CoW Swap е да им обезбеди на корисниците најдобри цени низ децентрализираните централи. Сепак, хакер го насочи својот паметен договор за трговско порамнување, GPv2Settlement, за да ги троши средствата.
PeckShield процени дека напаѓачот исцедил DAI во вредност од околу 180,000 долари од CoW Swap пред да ги пренасочи средствата преку Tornado Cash за да добие 551 BNB. Нападот беше насочен кон GPv2Settlement, паметен договор за трговско порамнување што е дел од протоколот CoW Swap alpha (GPv2).
Изгледа дека напаѓачот го измамил сопственикот на договорот GPv2Settlement да ја одобри употребата на SwapGuard, што вообичаено не е дозволено.
Според PeckShield, SwapGuard е втор договор што го користи CoW Swap за да помогне и да ги потврди резултатите од размената. Ова одобрение може да придонесе за успехот на нападот, бидејќи SwapGuard дозволува произволни повици на функции. Во контекст на паметните договори, произволните повици на функции дозволуваат секој со пристап до договорот да изврши која било функција во рамките на неговиот код.
Портпаролот на BlockSec изјави за The Block дека во договорот SwapGuard постои функција која може да префрли пари на која било адреса. Напаѓачот се повика на јавната функција да ја префрли ДАИ во нивната адреса.
Тимот за размена на крави рече дека договорот за порамнување што бил експлоатиран има пристап до надоместоците собрани од протоколот само за една недела и дека хакерот не можел директно да пристапи до корисничките средства.
© 2023 Блок Крипто, Inc. Сите права се задржани. Овој напис е даден само за информативни цели. Не се нуди или е наменет да се користи како легален, данок, инвестиции, финансиски или други совети.
Извор: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss