- Повідомляється, що зловмисник додав адресу гаманця як «розв’язувач» CoW Swap.
- BNB на суму понад 181,000 XNUMX доларів США переведено на міксер криптовалют Tornado Cash.
Уразливість у смарт-контрактах, що лежать в основі децентралізованих фінансів (Defi) протокол CoW Swap призвів до крадіжки близько 551 BNB вартістю близько 181,600 XNUMX доларів США. Повідомляється, що зловмисник додав адресу гаманця як «розв’язувач». CoW Swap. А потім використав транзакцію для авторизації переказів DAI до SwapGuard перед переказом коштів на іншу адресу.
Крім того, компанія з моніторингу блокчейнів MevRefund першою виявила вторгнення. Гроші були перераховані з CoW Swap, а функція протоколу SwapGuard була схвалена. Дозволяючи будь-кому виконувати «довільні виклики функцій».
ПекШилд, а blockchain охоронна компанія протягом години виявила, що десятьма днями тому SwapGuard змогла обдурити контракт CoW Swap GPv2Settlement, щоб прийняти витрати DAI. Коли експлойт було запущено, зловмисник щойно використав SwapGuard, щоб видалити DAI з контракту GPv2Settlement.
Переведено на Торнадо Кеш
Крім того, BlockSec, платформа безпеки блокчейну, надала більше контексту, пояснюючи, що зловмисник схвалив транзакції, оскільки вони додали адресу гаманця як розв’язувач протоколу через multi-sig. Експлуататор може дозволити платежі на будь-яку адресу після того, як передача DAI буде дозволена угодою про врегулювання.
Токени BNB, USDT, USDC і ETH надіслано на адресу експлойтера. Близько 551 BNB на суму понад 181,000 XNUMX доларів США було переведено до криптовалютного міксера Tornado Cash, який перебуває під санкціями OFAC.
Крім того, CoW Swap запевнила своїх клієнтів, що викрадені гроші — це тижнева комісія. В організації повідомили, що проблему усунуто та ведеться розслідування.
Рекомендовано для вас:
Протокол Orion, використаний хакером, вкрав приблизно 3 мільйони доларів
Джерело: https://thenewscrypto.com/defi-protocol-cow-swap-exploited-of-551-bnb-in-recent-attack/