CoW (צירוף מקרים של רצונות) פרוטוקול , פלטפורמת הפיננסים המבוזרת שעליה בנויה CoW Swap, סבלה מהתקפת מולטיסיג על החוזה החכם שלה להסדר.
חשיפת האיומים פורסמה לראשונה על ידי MevRefund, חוקר אבטחת בלוקצ'יין והאקר Whitehat.
@CoWSwap נראה שהכספים שלך מתרחקים...https://t.co/li1NkXNeUp
- MevRefund (@MevRefund) פברואר 7, 2023
חברת ביקורת האבטחה של Blockchain PeckShield אישרה מאוחר יותר את הניצול, ופרסמה את החשיפה בטוויטר.
נראה (1) @CoWSwapחוזה ה-GPv2Settlement של GPv10Settlement הוטעה לפני 2 ימים כדי לאשר את SwapGuard עבור הוצאות DAI ו-(2) SwapGuard הופעל זה עתה להעביר DAI מ-GPvXNUMXSettlement. להלן שני ה-txs הקשורים: https://t.co/Tb8Sk5xqMR ו https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) פברואר 7, 2023
פרטים נוספים על הניצול היו מוסבר על ידי BlockSec, חברת ביקורת חוזים חכמים. לפי BlockSec, כתובת הארנק של שחקן האיום נוספה כ"פותרת" של CoW Swap באמצעות multisig.
מולטי-סיג הוא סוג של אמצעי קריפטו-אבטחה שבו נדרשת יותר מחתימה קריפטוגרפית של צד אחד כדי לאשר עסקה. לאחר מכן, התוקף השתמש בגישה זו כדי להפעיל את החוזה החכם להסדר ולנקז 550 BNB לתוך Tornado Cash, משפך אנונימיות קריפטו המאפשר למשתמשים להסוות עסקאות, מה שמקשה על כל אחד אחר להתחקות אחריהם.
כתובתו של שחקן האיום הפעילה מאוחר יותר את העסקה על מנת לאשר את DAI כלפי SwapGuard, מה שגרם ל-SwapGuard להעביר את DAI מחוזה ההחלפה של CoW למספר כתובות שונות.
בעוד CoW Swap עדיין לא פרסמה הצהרה רשמית בעניין, מפתחי הפרוטוקול טוענים שהם כבר עובדים על הפגיעות. הפרוטוקול גם אמר כי חוזה הפשרה של הניצול יכול לגשת לעמלות שנגבו על ידי הפרוטוקול תוך שבוע בלבד, עם כספי המשתמש מאובטחים, בהתחשב באופן שבו ניתן לחתום עליהם רק באמצעות הזמנה שבוצעה על ידי משתמש. הצוות של CoW Swap הרגיע את המשתמשים שהחשבונות שלהם לא יושפעו מהניצול, והוסיף שהם לא נדרשים לבטל אישורים קודמים כלשהם.
הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb