Ապակենտրոնացված ֆինանսների (DeFi) արձանագրության CoW Swap-ը տուժել է խելացի պայմանագրային շահագործումից, ինչը հանգեցրել է մոտավորապես 551 BNB-ի (181,600 դոլար) կորստի:
Ըստ տեղեկությունների՝ հարձակվողը դրամապանակի հասցե է ավելացրել՝ որպես CoW Swap-ի «լուծող» և գործարք է կանչել՝ հաստատելու DAI փոխանցումները SwapGuard-ին՝ նախքան ակտիվները այլ հասցեներ տեղափոխելը:
A Settlement Contract Exploit
Blockchain-ի հետազոտող MevRefund-ն առաջին անգամ նկատեց հարձակումը այսօր վաղ ժամերին: Առավելագույն արդյունահանվող արժեքի (MEV) որոնիչ tweeted որ CoW Swap-ի դրամական միջոցները տեղափոխվում են՝ հավելելով, որ արձանագրության SwapGuard հատկանիշին տրվել է արտոնություն և թույլ է տվել որևէ մեկին կատարել «կամայական գործառույթի զանգեր»:
Մեկ ժամվա ընթացքում բլոկչեյնի անվտանգության PeckShield ընկերությունը ցույց որ CoW Swap-ի GPv2Settlement պայմանագիրը խաբվել է տաս օր առաջ՝ հաստատելով SwapGuard-ին DAI-ի ծախսերը:
Օգտագործման պահին հարձակվողը պարզապես գործարկեց SwapGuard-ին, որպեսզի DAI-ն դուրս բերի GPv2Settlement պայմանագրից:
Ավելի մանրամասն բացատրության մեջ՝ BlockSec-ի բլոկչեյնի անվտանգության պլատֆորմը բացահայտեց, որ հարձակվողն ավելացրել է դրամապանակի հասցեն՝ որպես արձանագրության լուծող բազմանշանակ, հետևաբար՝ գործարքները հաստատելու հնարավորություն: Քանի որ DAI-ի փոխանցումը հաստատվել է հաշվարկային պայմանագրով, շահագործողը կարող է նաև հաստատել կամայական հասցեներով փոխանցումները:
«Քաղված դաս. Կամայական զանգի ինտերֆեյսով պայմանագիրը չպետք է ունենա որևէ թույլտվություն, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 սխալ է թույլ տվել և հաստատել DAI-ի առավելագույն արժեքը SwapGuard-ին, որը հարձակման հիմնական պատճառն է», - BlockSec: ասել.
Ավելի քան $181k տեղափոխվել է Tornado Cash-ին
Շահագործողի հասցեին փոխանցված նշանները ներառում են BNB, USDT, USDC և ETH: Մինչ այժմ, մոտավորապես 551 BNB՝ ավելի քան 181,000 դոլար արժողությամբ, տեղափոխվել է OFAC-ի կողմից հաստատված կրիպտո խառնիչ Tornado Cash:
Կովերի փոխանակում հորդորեց օգտատերերը չպետք է անհանգստանան, քանի որ գողացված միջոցները CoW Protocol-ի կուտակած վճարներն էին անցյալ շաբաթվա ընթացքում: Պլատֆորմը հայտնել է, որ խնդիրը մեղմացվել է և այժմ գտնվում է հետաքննության փուլում:
CoW Protocol-ը DeFi-ի վերջին հարթակն է, որն այս ամիս տուժել է համարձակ հաքերների ձեռքով: CryptoPotato-ն անցյալ շաբաթ հայտնել է, որ Օրիոնի արձանագրություն և BonqDAO կոտրվել են՝ հանգեցնելով համապատասխանաբար 3 և 10 միլիոն դոլարի վնասի։
Binance անվճար $100 (բացառիկ). Օգտագործեք այս հղումը գրանցվել և ստանալ $100 անվճար և 10% զեղչ վճարներ Binance Futures-ի առաջին ամսվա համար (Պայմաններ).
PrimeXBT Հատուկ առաջարկ: Օգտագործեք այս հղումը գրանցվելու համար և մուտքագրեք POTATO50 կոդը՝ ձեր ավանդների վրա մինչև $7,000 ստանալու համար:
Աղբյուր՝ https://cryptopotato.com/defi-platform-cow-protocol-loses-over-550-bnb-in-contract-exploit/