Decentraliserad börsaggregator CoW Swap drabbades av ett stort hack, där angriparen fick över $180,000 XNUMX i pengar, enligt säkerhetsföretagen PeckShield och BlockSec.
Som en decentraliserad börs (DEX) aggregator, är CoW Swaps mål att ge användarna de bästa priserna på decentraliserade börser. En hackare riktade sig dock mot sitt smarta kontrakt för handelsavveckling, GPv2Settlement, för att dränera pengar.
PeckShield uppskattade att angriparen dränerade ungefär 180,000 551 USD av DAI från CoW Swap innan han dirigerade pengarna genom Tornado Cash för att få 2 BNB. Attacken riktade sig mot GPv2Settlement, ett smart avtal för handelsavveckling som är en del av CoW Swap alpha (GPvXNUMX)-protokollet.
Det verkar som att angriparen lurade ägaren av GPv2Settlement-kontraktet att godkänna användningen av SwapGuard, vilket normalt inte är tillåtet.
Enligt PeckShield är SwapGuard ett andra kontrakt som används av CoW Swap för att assistera och validera bytesresultat. Detta godkännande kan ha bidragit till att attacken lyckades, eftersom SwapGuard tillåter godtyckliga funktionsanrop. I samband med smarta kontrakt tillåter godtyckliga funktionsanrop alla som har tillgång till kontraktet att utföra vilken funktion som helst i dess kod.
En BlockSec-talesman sa till The Block att det finns en funktion i kontraktet SwapGuard som kan överföra pengar till vilken adress som helst. Angriparen åberopade den offentliga funktionen för att överföra DAI till deras adress.
CoW Swap-teamet sade att förlikningskontraktet som utnyttjades endast har tillgång till de avgifter som protokollet samlat in på en vecka och att hackaren inte kunde få direkt tillgång till användarmedel.
© 2023 The Block Crypto, Inc. Alla rättigheter förbehållna. Den här artikeln är endast avsedd för informationsändamål. Det erbjuds inte eller är avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss