krava (slučajnost želja) protokol , decentralizovana finansijska platforma na kojoj je izgrađen CoW Swap, pretrpela je napad sa više potpisa na svoj pametni ugovor o poravnanju.
Otkrivanje prijetnje prvi je objavio MevRefund, istraživač sigurnosti blockchain-a i whitehat haker.
@CoWSwap čini se da vam sredstva nestaju…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februar 7, 2023
Firma za reviziju sigurnosti blokčeina PeckShield kasnije je potvrdila eksploataciju, objavivši to na Twitteru.
izgleda (1) @CoWSwapGPv2Settlement ugovor korisnika je prevaren prije 10 dana da odobri SwapGuard za DAI potrošnju i (2) SwapGuard je upravo pokrenut da prenese DAI iz GPv2Settlementa. Evo dva povezana tx-a: https://t.co/Tb8Sk5xqMR i https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februar 7, 2023
Dalji detalji o eksploataciji su bili objasnio je BlockSec, revizorska kuća pametnih ugovora. Prema BlockSec-u, adresa novčanika aktera prijetnje dodata je kao “rješavač” CoW Swap-a putem multisigna.
Multisig je vrsta kripto-sigurnosne mjere u kojoj je potreban kriptografski potpis više od jedne strane da bi se odobrila transakcija. Napadač je zatim iskoristio ovaj pristup da pokrene pametni ugovor o poravnanju i odlije 550 BNB u Tornado Cash, tok kripto anonimnosti koji omogućava korisnicima da maskiraju transakcije, što otežava bilo kome drugom da im uđe u trag.
Adresa aktera prijetnje je kasnije pozvala transakciju kako bi odobrila DAI prema SwapGuard-u, što je navelo SwapGuard da prenese DAI iz CoW-ovog Swap ugovora o poravnanju na više različitih adresa.
Iako CoW Swap još nije objavio službenu izjavu o ovom pitanju, programeri protokola tvrde da već rade na ranjivosti. Protokol je također naveo da ugovor o poravnanju eksploatacije može pristupiti samo naknadama koje su naplaćene protokolom u roku od tjedan dana, uz sigurna sredstva korisnika, s obzirom na to kako se ona mogu potpisati samo putem naloga koji izvrši korisnik. CoW Swap tim je uvjeravao korisnike da će njihovi računi ostati nepromijenjeni eksploatacijom, dodajući da od njih nije potrebno opozvati bilo kakva prethodna odobrenja.
Izjava o odricanju odgovornosti: Ovaj članak je samo u informativne svrhe. Nije ponuđen niti je namijenjen da se koristi kao pravni, porezni, investicioni, finansijski ili drugi savjet.
Izvor: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb