Протокол децентрализованных финансов (DeFi) CoW Swap пострадал от уязвимости смарт-контракта, что привело к потере примерно 551 BNB (181,600 XNUMX долларов США).
Согласно сообщениям, злоумышленник добавил адрес кошелька в качестве «решателя» CoW Swap и вызвал транзакцию для подтверждения переводов DAI в SwapGuard, прежде чем перемещать активы на другие адреса.
Эксплойт расчетного контракта
Исследователь блокчейна MevRefund впервые заметил атаку сегодня рано утром. Искатель максимального извлекаемого значения (MEV) чирикнул что средства CoW Swap перемещаются, добавив, что функция протокола SwapGuard получила разрешение и позволяет любому совершать «произвольные вызовы функций».
В течение часа фирма по безопасности блокчейна PeckShield показал, что контракт CoW Swap GPv2Settlement был обманут десять дней назад, одобрив SwapGuard для расходов DAI.
Во время эксплойта злоумышленник только что активировал SwapGuard для передачи DAI из контракта GPv2Settlement.
В более подробном объяснении платформа безопасности блокчейна BlockSec сообщила, что злоумышленник добавил адрес кошелька в качестве решателя протокола с помощью мультиподписи, следовательно, возможность одобрять транзакции. Поскольку перевод DAI был одобрен из расчетного контракта, эксплуататор также мог одобрить переводы на произвольные адреса.
«Усвоенный урок. В контракте с интерфейсом произвольного вызова не должно быть никаких поправок, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 допустил ошибку и одобрил максимальное значение DAI для SwapGuard, что и является первопричиной атаки», — BlockSec. — сказал.
Более $181 тыс. переведено в Tornado Cash
Токены, переданные на адрес эксплуататора, включают BNB, USDT, USDC и ETH. На данный момент примерно 551 BNB на сумму более 181,000 XNUMX долларов США были переведены в криптомиксер Tornado Cash, санкционированный OFAC.
Обмен CoW настоятельно пользователи не должны беспокоиться, так как украденные средства были накопленными комиссиями CoW Protocol за последнюю неделю. Платформа сообщила, что проблема была устранена и в настоящее время расследуется.
Протокол CoW — это последняя платформа DeFi, пострадавшая от рук смелых хакеров в этом месяце. CryptoPotato сообщила на прошлой неделе, что Протокол Ориона и БонкДАО были взломаны, что привело к потере 3 и 10 миллионов долларов соответственно.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/defi-platform-cow-protocol-loses-over-550-bnb-in-contract-exploit/