CoW (Ցանկությունների համընկնում) Արձանագրություն , ապակենտրոնացված ֆինանսական հարթակը, որի վրա կառուցված է CoW Swap-ը, տուժել է իր կարգավորման խելացի պայմանագրի վրա բազմակողմանի հարձակումից:
Սպառնալիքի բացահայտումն առաջին անգամ հրապարակվել է MevRefund-ի կողմից՝ բլոկչեյնի անվտանգության հետազոտող և whitehat հաքեր:
@CoWSwap ձեր միջոցները կարծես թե հեռանում են…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Փետրվարի 7, 2023
Blockchain-ի անվտանգության աուդիտորական PeckShield ընկերությունը ավելի ուշ հաստատել է շահագործումը` հրապարակելով բացահայտումը Twitter-ում:
Կարծես (1) @CoWSwapGPv2Settlement-ի պայմանագիրը խաբվել է 10 օր առաջ՝ հաստատելու SwapGuard-ը DAI-ի ծախսերի համար, և (2) SwapGuard-ը հենց նոր գործարկվեց DAI-ն GPv2Settlement-ից դուրս փոխանցելու համար: Ահա երկու առնչվող tx-ները. https://t.co/Tb8Sk5xqMR և https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Փետրվարի 7, 2023
Շահագործման վերաբերյալ լրացուցիչ մանրամասներ էին բացատրում է BlockSec-ը, խելացի պայմանագրային աուդիտորական ընկերություն: Ըստ BlockSec-ի, սպառնալիքի դերակատարի դրամապանակի հասցեն ավելացվել է որպես CoW Swap-ի «լուծող» multisig-ի միջոցով:
Multisig-ը կրիպտո-անվտանգության միջոցի տեսակ է, որի դեպքում գործարքը հաստատելու համար պահանջվում է մեկից ավելի կողմի ծածկագրային ստորագրությունը: Այնուհետև հարձակվողն օգտագործել է այս հասանելիությունը՝ գործարկելու հաշվարկային խելացի պայմանագիրը և 550 BNB արտահոսել Tornado Cash-ում՝ ծպտյալ անանունության ձագար, որը թույլ է տալիս օգտվողներին քողարկել գործարքները՝ դժվարացնելով որևէ մեկի համար դրանց հետագծումը:
Սպառնալիքի դերակատարի հասցեն հետագայում վկայակոչեց գործարքը, որպեսզի հաստատի DAI-ը SwapGuard-ի նկատմամբ, ինչը հուշեց SwapGuard-ին փոխանցել DAI-ն CoW-ի Swap հաշվարկային պայմանագրից մի շարք տարբեր հասցեներ:
Թեև CoW Swap-ը դեռ պաշտոնական հայտարարություն չի հրապարակել այս հարցի վերաբերյալ, արձանագրության մշակողները պնդում են, որ իրենք արդեն աշխատում են խոցելիության դեմ: Արձանագրության մեջ նաև ասվում է, որ շահագործման վճարման պայմանագիրը կարող է մուտք գործել միայն այն վճարները, որոնք հավաքագրվել են արձանագրության միջոցով մեկ շաբաթվա ընթացքում՝ օգտատերերի միջոցների ապահովմամբ, հաշվի առնելով, որ դրանք կարող են ստորագրվել միայն օգտատիրոջ կողմից կատարված պատվերի միջոցով: CoW Swap-ի թիմը հավաստիացրել է օգտատերերին, որ իրենց հաշիվները չեն ազդի շահագործման՝ ավելացնելով, որ նրանցից չի պահանջվում չեղյալ համարել որևէ նախնական հաստատում:
Հրաժարում. Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված է օգտագործել որպես իրավական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհուրդ:
Աղբյուր՝ https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb