Протокол децентрализованных финансов (DeFi) CoW Swap пострадал от эксплойта смарт-контракта, что привело к потере примерно 551 BNB (181 600 долларов США).
Согласно сообщениям, злоумышленник добавил адрес кошелька в качестве «искупителя» CoW Swap и инициировал транзакцию для авторизации переводов DAI в SwapGuard, прежде чем перемещать активы на другие адреса.
Эксплуатация расчетного контракта
Блокчейн-метр MevRefund впервые заметил атаку сегодня утром. Максимальная возмещаемая стоимость (MEV) заявителя твитнул что средства CoW Swap были перемещены, добавив, что функция протокола SwapGuard была подделана и позволяла любому совершать «произвольные вызовы функций».
В течение часа фирма по безопасности блокчейнов PeckShield раскрытый что контракт CoW Swap GPv2Settlement был обманут десять дней назад, разрешив SwapGuard тратить DAI.
Во время эксплойта злоумышленник только что активировал SwapGuard для передачи DAI из контракта GPv2Settlement.
В более подробном объяснении платформа безопасности блокчейна BlockSec показала, что злоумышленник добавил адрес кошелька в качестве преобразователя протокола мультиподписи и, таким образом, возможность одобрять транзакции. Поскольку перевод DAI был разрешен из расчетного контракта, эксплуататор также мог разрешить переводы на произвольные адреса.
«Усвоенный урок. Контракт с интерфейсом произвольных вызовов не должен иметь квоты, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 допустил ошибку и одобрил максимальное значение DAI для SwapGuard, что и является первопричиной атаки», — BlockSec. так.
Более $181 тыс. переведено в Tornado Cash
Токены, переданные на адрес эксплуататора, включают BNB, USDT, USDC и ETH. На данный момент примерно 551 BNB на сумму более 181 000 долларов США были переведены в криптомиксер Tornado Cash, санкционированный OFAC.
Обмен CoW поощряется пользователи не беспокоятся, так как украденные средства были накопленными комиссиями CoW Protocol за последнюю неделю. Платформа сообщила, что проблема была устранена и в настоящее время расследуется.
Протокол CoW — это последняя платформа DeFi, пострадавшая от смелых хакеров в этом месяце. На прошлой неделе CryptoPotato сообщил, что Протокол Ориона и БонкДАО были взломаны, что привело к убыткам в размере 3 и 10 миллионов долларов соответственно.
Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).
Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.
Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!