به گفته شرکتهای امنیتی PeckShield و BlockSec، تجمعدهنده صرافی غیرمتمرکز CoW Swap یک هک بزرگ را متحمل شد و مهاجم با بیش از 180,000 دلار وجوه به دست آورد.
به عنوان یک صرافی غیرمتمرکز (DEX)، هدف CoW Swap ارائه بهترین قیمت ها در میان صرافی های غیرمتمرکز به کاربران است. با این حال، یک هکر قرارداد هوشمند تسویه تجاری خود، GPv2Settlement را هدف قرار داد تا وجوه را تخلیه کند.
PeckShield تخمین زده است که مهاجم قبل از هدایت وجوه از طریق Tornado Cash برای بدست آوردن 180,000 BNB، تقریباً 551 دلار DAI را از CoW Swap تخلیه کرده است. این حمله GPv2Settlement، یک قرارداد هوشمند تسویه تجاری است که بخشی از پروتکل CoW Swap alpha (GPv2) است.
به نظر می رسد که مهاجم صاحب قرارداد GPv2Settlement را فریب داده تا استفاده از SwapGuard را تأیید کند، که معمولاً مجاز نیست.
به گفته PeckShield، SwapGuard دومین قراردادی است که توسط CoW Swap برای کمک و اعتبارسنجی نتایج مبادله استفاده میشود. این تایید ممکن است به موفقیت حمله کمک کرده باشد، زیرا SwapGuard امکان فراخوانی تابع دلخواه را می دهد. در زمینه قراردادهای هوشمند، فراخوانی تابع دلخواه به هر کسی که به قرارداد دسترسی دارد اجازه می دهد تا هر عملکردی را در کد آن اجرا کند.
یکی از سخنگویان BlockSec به The Block گفت که عملکردی در قرارداد SwapGuard وجود دارد که می تواند پول را به هر آدرسی منتقل کند. مهاجم از تابع عمومی برای انتقال DAI به خود استفاده کرد نشانی.
تیم CoW Swap گفت: که قرارداد تسویه حساب که مورد سوء استفاده قرار گرفته است فقط به هزینه های جمع آوری شده توسط پروتکل در یک هفته دسترسی دارد و هکر قادر به دسترسی مستقیم به وجوه کاربران نبوده است.
© 2023 کلیه حقوق این سایت متعلق به Block Crypto ، Inc. این مقاله فقط برای مقاصد اطلاعاتی ارائه شده است. این پیشنهاد یا در نظر گرفته نشده است که به عنوان مشاوره قانونی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد استفاده شود.
منبع: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss