CoW (Cincidence of Wants) Protokoll , den decentraliserade finansplattformen som CoW Swap är byggd över, har drabbats av en multisig-attack på sitt smarta avtal för avveckling.
Hotavslöjandet släpptes först av MevRefund, en blockchain-säkerhetsforskare och whitehat-hacker.
@CoWSwap dina pengar verkar försvinna...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februari 7, 2023
Blockchain-säkerhetsrevisionsfirman PeckShield bekräftade senare utnyttjandet och publicerade avslöjandet på Twitter.
Det verkar (1) @CoWSwapGPv2Settlement-kontraktet har blivit lurat för 10 dagar sedan för att godkänna SwapGuard för DAI-utgifter och (2) SwapGuard triggades precis för att överföra DAI från GPv2Settlement. Här är de två relaterade txs: https://t.co/Tb8Sk5xqMR och https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februari 7, 2023
Ytterligare detaljer om exploateringen var förklaras av BlockSec, ett smart kontraktsrevisionsföretag. Enligt BlockSec lades hotaktörens plånboksadress till som en "lösare" av CoW Swap via en multisig.
En multisig är en typ av kryptosäkerhetsåtgärd där mer än en parts kryptografiska signatur krävs för att godkänna en transaktion. Angriparen använde sedan denna åtkomst för att utlösa det smarta avvecklingskontraktet och dränera 550 BNB till Tornado Cash, en kryptoanonymitetstratt som gör det möjligt för användare att maskera transaktioner, vilket gör det svårare för någon annan att spåra dem.
Hotaktörens adress åberopade senare transaktionen för att godkänna DAI gentemot SwapGuard, vilket fick SwapGuard att överföra DAI från CoW:s Swap-avvecklingskontrakt till ett antal olika adresser.
Medan CoW Swap ännu inte har släppt ett officiellt uttalande om saken, hävdar protokollets utvecklare att de redan arbetar med sårbarheten. Protokollet sade också att förlikningskontraktet för exploateringen endast kan komma åt de avgifter som har samlats in av protokollet inom en veckas tid, med användarmedel säkra, med tanke på hur dessa endast kan undertecknas genom en order som utförs av en användare. CoW Swaps team försäkrade användarna om att deras konton skulle förbli opåverkade av utnyttjandet och tillade att de inte behövde återkalla några tidigare godkännanden.
Ansvarsfriskrivning: Den här artikeln tillhandahålls endast i informationssyfte. Det erbjuds eller är inte avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb