Güvenlik firmaları PeckShield ve BlockSec'e göre merkezi olmayan borsa toplayıcı CoW Swap, saldırganın 180,000 doların üzerinde fonla kaçmasıyla büyük bir saldırıya uğradı.
Merkezi olmayan bir borsa (DEX) toplayıcısı olarak CoW Swap'ın amacı, kullanıcılara merkezi olmayan borsalarda en iyi fiyatları sağlamaktır. Ancak bir bilgisayar korsanı, fonları boşaltmak için ticaret anlaşması akıllı sözleşmesi GPv2Settlement'i hedef aldı.
PeckShield, saldırganın 180,000 BNB elde etmek için Tornado Cash aracılığıyla fonları yönlendirmeden önce CoW Swap'tan yaklaşık 551 $ değerinde DAI çektiğini tahmin etti. Saldırı, CoW Swap alfa (GPv2) protokolünün parçası olan bir ticaret anlaşması akıllı sözleşmesi olan GPv2Settlement'ı hedef aldı.
Saldırganın GPv2Settlement sözleşmesinin sahibini, normalde izin verilmeyen SwapGuard'ın kullanımını onaylaması için kandırdığı anlaşılıyor.
PeckShield'e göre SwapGuard, CoW Swap tarafından takas sonuçlarına yardımcı olmak ve doğrulamak için kullanılan ikinci bir sözleşmedir. SwapGuard keyfi işlev çağrılarına izin verdiğinden, bu onay saldırının başarısına katkıda bulunmuş olabilir. Akıllı sözleşmeler bağlamında, isteğe bağlı işlev çağrıları, sözleşmeye erişimi olan herkesin sözleşmenin kodu içindeki herhangi bir işlevi yürütmesine izin verir.
Bir BlockSec sözcüsü, The Block'a SwapGuard sözleşmesinde herhangi bir adrese para transfer edebilen bir işlev olduğunu söyledi. Saldırgan, DAI'yi kendi bilgisayarlarına aktarmak için kamu işlevini kullandı. adres.
CoW Takas ekibi şuraya istismar edilen uzlaşma sözleşmesinin yalnızca protokol tarafından bir hafta içinde toplanan ücretlere erişimi olduğu ve bilgisayar korsanının doğrudan kullanıcı fonlarına erişemediği.
© 2023 The Block Crypto, Inc. Tüm Hakları Saklıdır. Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss