Decentralizovani agregator razmene CoW Swap pretrpeo je veliki hak, pri čemu je napadač pobegao sa preko 180,000 dolara sredstava, prema bezbednosnim firmama PeckShield i BlockSec.
Kao agregator decentralizovane berze (DEX), cilj CoW Swap-a je da korisnicima pruži najbolje cene na decentralizovanim berzama. Međutim, haker je ciljao svoj pametni ugovor za trgovačko poravnanje, GPv2Settlement, kako bi odvukao sredstva.
PeckShield je procijenio da je napadač iz CoW Swapa izvukao DAI u vrijednosti od oko 180,000 dolara prije nego što je prebacio sredstva preko Tornado Cash-a kako bi dobio 551 BNB. Napad je bio usmjeren na GPv2Settlement, pametni ugovor o trgovanju koji je dio CoW Swap alpha (GPv2) protokola.
Čini se da je napadač prevario vlasnika GPv2Settlement ugovora da odobri korištenje SwapGuard-a, što inače nije dozvoljeno.
Prema PeckShield-u, SwapGuard je drugi ugovor koji koristi CoW Swap da pomogne i potvrdi rezultate zamjene. Ovo odobrenje je možda doprinijelo uspjehu napada, jer SwapGuard dozvoljava proizvoljne pozive funkcija. U kontekstu pametnih ugovora, proizvoljni pozivi funkcija omogućavaju svakome tko ima pristup ugovoru da izvrši bilo koju funkciju unutar njegovog koda.
Glasnogovornik BlockSec-a rekao je za Block da postoji funkcija u ugovoru SwapGuard koja može prenijeti novac na bilo koju adresu. Napadač se pozvao na javnu funkciju da prenese DAI u njihov adresa.
Tim za zamenu krava rekao da ugovor o poravnanju koji je eksploatisan ima pristup samo naknadama koje je protokol prikupio za nedelju dana i da haker nije mogao direktno da pristupi novčanim sredstvima korisnika.
© 2023. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss