Ապակենտրոնացված փոխանակման ագրեգատորը CoW Swap-ը ենթարկվել է խոշոր հարձակման, որի արդյունքում հարձակվողը ստացել է ավելի քան 180,000 դոլար միջոցներ, ըստ PeckShield և BlockSec անվտանգության ընկերությունների:
Որպես ապակենտրոն փոխանակման (DEX) ագրեգատոր՝ CoW Swap-ի նպատակն է օգտատերերին տրամադրել լավագույն գները ապակենտրոնացված բորսաներում: Այնուամենայնիվ, հաքերը թիրախավորել է իր առևտրային կարգավորման խելացի պայմանագիրը՝ GPv2Settlement, միջոցները սպառելու համար:
PeckShield-ը գնահատել է, որ հարձակվողը մոտ 180,000 ԱՄՆ դոլար արժողությամբ DAI է արտահոսել CoW Swap-ից՝ նախքան միջոցները Tornado Cash-ի միջոցով 551 BNB ստանալու համար: Հարձակման թիրախ է դարձել GPv2Settlement-ը՝ առևտրային կարգավորման խելացի պայմանագիր, որը հանդիսանում է CoW Swap alpha (GPv2) արձանագրության մաս:
Թվում է, որ հարձակվողը խաբել է GPv2Settlement պայմանագրի սեփականատիրոջը, որպեսզի հաստատի SwapGuard-ի օգտագործումը, որը սովորաբար չի թույլատրվում:
Ըստ PeckShield-ի, SwapGuard-ը երկրորդ պայմանագիրն է, որն օգտագործվում է CoW Swap-ի կողմից՝ աջակցելու և վավերացնելու փոխանակման արդյունքները: Այս հաստատումը կարող է նպաստել հարձակման հաջողությանը, քանի որ SwapGuard-ը թույլ է տալիս կամայական ֆունկցիայի կանչեր: Խելացի պայմանագրերի համատեքստում կամայական ֆունկցիայի կանչերը թույլ են տալիս յուրաքանչյուրին, ով հասանելի է պայմանագրին, կատարել ցանկացած գործառույթ իր կոդի շրջանակներում:
BlockSec-ի ներկայացուցիչը The Block-ին ասել է, որ SwapGuard-ի պայմանագրում կա գործառույթ, որը կարող է գումար փոխանցել ցանկացած հասցեով: Հարձակվողը վկայակոչել է հանրային գործառույթը՝ DAI-ն իրենց մեջ փոխանցելու համար հասցե.
CoW Swap թիմը ասել որ հաշվարկային պայմանագիրը, որը շահագործվել է, հասանելի է միայն մեկ շաբաթվա ընթացքում արձանագրությամբ հավաքագրված վճարներին, և որ հաքերը չի կարողացել ուղղակիորեն մուտք գործել օգտվողի միջոցներ:
© 2023 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss