- Napadač je navodno dodao adresu novčanika kao "rješavač" CoW Swap-a.
- BNB u vrijednosti od preko 181,000 dolara prebačen je na mikser kriptovaluta Tornado Cash.
Ranjivost u pametnim ugovorima koji su u osnovi decentralizovanih finansija (Defi) protokol CoW Swap rezultirao je krađom oko 551 BNB u vrijednosti od oko 181,600 dolara. Napadač je navodno dodao adresu novčanika kao "rješavač". Zamjena krava. Zatim je koristio transakciju za autorizaciju DAI transfera na SwapGuard prije prijenosa sredstava na drugu adresu.
Štaviše, kompanija za praćenje blockchain-a MevRefund bila je prva koja je identifikovala upad. Novac je prebačen iz CoW Swap-a, a funkcija SwapGuard protokola je odobrena. Omogućavanje bilo kome da izvršava "proizvoljne pozive funkcija".
PeckShield, a blockchain sigurnosna kompanija, otkrivena u roku od sat vremena da je deset dana ranije, SwapGuard uspio prevariti CoW Swap ugovor GPv2Settlement da prihvati DAI troškove. Kada je eksploatacija pokrenuta, napadač je upravo koristio SwapGuard da ukloni DAI iz GPv2Settlement ugovora.
Prebačeno na Tornado Cash
Štaviše, BlockSec, blockchain sigurnosna platforma, pružila je više konteksta, objašnjavajući da je napadač odobrio transakcije jer su dodali adresu novčanika kao rješavač protokola putem multi-sig. Eksploatator može odobriti plaćanja na koju god adresu želi nakon što je DAI transfer bio dozvoljen ugovorom o poravnanju.
BNB, USDT, USDC i ETH tokeni su svi poslani na adresu eksploatatora. Oko 551 BNB u vrijednosti od preko 181,000 dolara prebačeno je na mikser kriptovaluta Tornado Cash, koji je sankcioniran od strane OFAC-a.
Nadalje, CoW Swap je uvjeravao svoje klijente da je ukradeni novac bio nedjeljna naknada. Organizacija je saopštila da je problem otklonjen i da je istraga u toku.
Preporučeno za Vas:
Orion protokol iskoristio haker koji je ukrao otprilike 3 miliona dolara
Izvor: https://thenewscrypto.com/defi-protocol-cow-swap-exploited-of-551-bnb-in-recent-attack/