گاو (تصادف خواسته ها) پروتکل ، پلتفرم مالی غیرمتمرکز که CoW Swap بر روی آن ساخته شده است، از یک حمله چند جانبه به قرارداد هوشمند تسویه حساب خود آسیب دیده است.
افشای تهدید اولین بار توسط MevRefund، محقق امنیت بلاک چین و هکر Whitehat منتشر شد.
@CoWSwap به نظر می رسد وجوه شما از بین می رود…https://t.co/li1NkXNeUp
- MevRefund (@MevRefund) فوریه 7، 2023
شرکت حسابرسی امنیت بلاک چین PeckShield بعداً این سوء استفاده را تأیید کرد و این افشاگری را در توییتر منتشر کرد.
به نظر می رسد (1) @CoWSwapقرارداد GPv2Settlement 10 روز پیش برای تایید SwapGuard برای هزینه های DAI فریب خورده است و (2) SwapGuard به تازگی برای انتقال DAI از GPv2Settlement فعال شده است. در اینجا دو tx مرتبط وجود دارد: https://t.co/Tb8Sk5xqMR و https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- شرکت PeckShield (peckshield) فوریه 7، 2023
جزئیات بیشتر در مورد بهره برداری بود توسط BlockSec توضیح داده شده است، یک شرکت حسابرسی قرارداد هوشمند. به گفته BlockSec، آدرس کیف پول عامل تهدید به عنوان «حل کننده» CoW Swap از طریق یک multisig اضافه شد.
مولتی سیگ نوعی معیار امنیت رمزنگاری است که در آن امضای رمزنگاری بیش از یک طرف برای تأیید یک تراکنش لازم است. سپس مهاجم از این دسترسی برای راه اندازی قرارداد هوشمند تسویه حساب و تخلیه 550 BNB به Tornado Cash، یک قیف ناشناس رمزنگاری استفاده کرد که به کاربران امکان می دهد تراکنش ها را پنهان کنند و ردیابی آنها را برای دیگران دشوارتر می کند.
آدرس عامل تهدید بعداً به منظور تأیید DAI نسبت به SwapGuard، این تراکنش را فراخوانی کرد، که SwapGuard را بر آن داشت تا DAI را از قرارداد تسویه حساب Swap CoW به تعدادی از آدرسهای مختلف منتقل کند.
در حالی که CoW Swap هنوز بیانیه رسمی در مورد این موضوع منتشر نکرده است، توسعه دهندگان پروتکل ادعا می کنند که در حال حاضر روی آسیب پذیری کار می کنند. این پروتکل همچنین گفت که قرارداد تسویه اکسپلویت تنها میتواند به هزینههایی که توسط پروتکل جمعآوری شده است در مدت یک هفته دسترسی داشته باشد، با توجه به اینکه چگونه این هزینهها فقط از طریق سفارشی که توسط کاربر انجام میشود امضا میشود. تیم CoW Swap به کاربران اطمینان داد که حسابهای آنها تحت تأثیر این سوءاستفاده قرار نمیگیرد و اضافه کردند که آنها ملزم به لغو هیچ گونه تأییدیه قبلی نیستند.
سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.
منبع: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb