אגרגטור החליפין המבוזר CoW Swap ספג פריצה גדולה, כאשר התוקף יצא עם יותר מ-180,000 דולר בכספים, לפי חברות האבטחה PeckShield ו-BlockSec.
בתור אגרגטור בורסה מבוזרת (DEX), המטרה של CoW Swap היא לספק למשתמשים את המחירים הטובים ביותר בבורסות מבוזרות. עם זאת, האקר כיוון את החוזה החכם להסדר הסחר שלו, GPv2Settlement, כדי לרוקן כספים.
PeckShield העריך כי התוקף גזל DAI בשווי של כ-180,000 דולר מ-CoW Swap לפני שניתב את הכספים דרך Tornado Cash כדי להשיג 551 BNB. המתקפה כוונה ל-GPv2Settlement, חוזה חכם להסדר הסחר המהווה חלק מפרוטוקול CoW Swap alpha (GPv2).
נראה כי התוקף רימה את הבעלים של חוזה ה-GPv2Settlement לאשר את השימוש ב-SwapGuard, שבדרך כלל אסור.
לפי PeckShield, SwapGuard הוא חוזה שני המשמש את CoW Swap כדי לסייע ולאמת את תוצאות ההחלפה. ייתכן שאישור זה תרם להצלחת המתקפה, שכן SwapGuard מאפשר קריאות פונקציה שרירותיות. בהקשר של חוזים חכמים, קריאות פונקציות שרירותיות מאפשרות לכל מי שיש לו גישה לחוזה לבצע כל פונקציה בתוך הקוד שלו.
דובר BlockSec אמר ל-The Block שיש פונקציה בחוזה SwapGuard שיכולה להעביר כסף לכל כתובת. התוקף הפעיל את הפונקציה הציבורית להעביר את ה-DAI לתוך שלהם כתובת.
צוות ה-CoW Swap אמר שלחוזה הפשרה שניצל יש רק גישה לעמלות שנגבות על ידי הפרוטוקול בעוד שבוע ושההאקר לא הצליח לגשת ישירות לכספי המשתמש.
© 2023 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss