CoW (совпадение желаний) протокол , децентрализованная финансовая платформа, на основе которой построен CoW Swap, пострадала от мультиподписной атаки на расчетный смарт-контракт.
Раскрытие угрозы было впервые опубликовано MevRefund, исследователем безопасности блокчейна и белым хакером.
@CoWSwap ваши средства, похоже, уходят…https://t.co/li1NkXNeUp
— МевВозврат (@MevRefund) 7 февраля 2023
Компания PeckShield, занимающаяся аудитом безопасности блокчейна, позже подтвердила эксплойт, опубликовав информацию в Twitter.
кажется (1) @CoWSwapКонтракт GPv2Settlement был обманут 10 дней назад, чтобы утвердить SwapGuard для расходов на DAI, и (2) SwapGuard только что сработал для перевода DAI из GPv2Settlement. Вот два связанных txs: https://t.co/Tb8Sk5xqMR и https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWizeOLzz
- PeckShield Inc. (@peckshield) 7 февраля 2023
Дополнительные подробности эксплойта были объяснил BlockSec, аудиторская фирма по смарт-контрактам. Согласно BlockSec, адрес кошелька злоумышленника был добавлен в качестве «решателя» CoW Swap через мультиподпись.
Мультиподпись — это тип меры криптобезопасности, при котором для утверждения транзакции требуется криптографическая подпись более чем одной стороны. Затем злоумышленник использовал этот доступ, чтобы запустить смарт-контракт расчетов и перевести 550 BNB в Tornado Cash, воронку анонимности криптовалют, которая позволяет пользователям маскировать транзакции, что затрудняет их отслеживание.
Позже адрес злоумышленника инициировал транзакцию, чтобы одобрить DAI в отношении SwapGuard, что побудило SwapGuard перевести DAI из контракта CoW о расчетах по свопам на несколько разных адресов.
Хотя CoW Swap еще не опубликовал официального заявления по этому поводу, разработчики протокола утверждают, что они уже работают над уязвимостью. В протоколе также говорится, что договор об урегулировании эксплойта может получить доступ только к сборам, которые были собраны протоколом в течение недели, с безопасными средствами пользователя, учитывая, что они могут быть подписаны только через заказ, выполненный пользователем. Команда CoW Swap заверила пользователей, что эксплойт не затронет их учетные записи, добавив, что от них не требуется отзывать какие-либо предыдущие разрешения.
Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или иных советов.
Источник: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb.