За даними охоронних фірм PeckShield і BlockSec, децентралізований біржовий агрегатор CoW Swap був зламаний, і зловмисник отримав понад 180,000 XNUMX доларів США.
Як агрегатор децентралізованої біржі (DEX), мета CoW Swap — надавати користувачам найкращі ціни на децентралізованих біржах. Однак хакер націлив його смарт-контракт GPv2Settlement на торгові розрахунки, щоб викачати кошти.
PeckShield підрахував, що зловмисник вивів DAI на суму приблизно 180,000 551 доларів із CoW Swap, перш ніж направити кошти через Tornado Cash, щоб отримати 2 BNB. Атака була спрямована на GPv2Settlement, смарт-контракт торгових розрахунків, який є частиною протоколу CoW Swap alpha (GPvXNUMX).
Схоже, зловмисник обманом змусив власника контракту GPv2Settlement схвалити використання SwapGuard, що зазвичай заборонено.
Згідно з PeckShield, SwapGuard є другим контрактом, який використовується CoW Swap для допомоги та перевірки результатів обміну. Це схвалення могло сприяти успіху атаки, оскільки SwapGuard дозволяє довільні виклики функцій. У контексті смарт-контрактів довільні виклики функцій дозволяють будь-кому, хто має доступ до контракту, виконувати будь-яку функцію в його коді.
Представник BlockSec розповів The Block, що в контракті SwapGuard є функція, яка може переказувати гроші на будь-яку адресу. Зловмисник використав публічну функцію, щоб передати DAI у свій адреса.
Команда CoW Swap сказав що договір про розрахунки, який було використано, має доступ лише до зборів, зібраних протоколом за тиждень, і що хакер не зміг отримати прямий доступ до коштів користувача.
© 2023 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss