Der dezentrale Börsenaggregator CoW Swap erlitt einen großen Hack, bei dem der Angreifer nach Angaben der Sicherheitsfirmen PeckShield und BlockSec mit über 180,000 US-Dollar davonkam.
Als Aggregator für dezentrale Börsen (DEX) ist es das Ziel von CoW Swap, Benutzern die besten Preise an dezentralen Börsen anzubieten. Ein Hacker zielte jedoch darauf ab, seinen intelligenten Vertrag für die Handelsabwicklung, GPv2Settlement, zu entleeren.
PeckShield schätzt, dass der Angreifer DAI im Wert von etwa 180,000 $ von CoW Swap abgezogen hat, bevor er die Gelder durch Tornado Cash leitete, um 551 BNB zu erhalten. Der Angriff zielte auf GPv2Settlement ab, einen Smart Contract zur Handelsabwicklung, der Teil des CoW Swap Alpha (GPv2)-Protokolls ist.
Anscheinend hat der Angreifer den Besitzer des GPv2Settlement-Vertrags dazu verleitet, die normalerweise nicht erlaubte Verwendung des SwapGuard zu genehmigen.
Laut PeckShield ist SwapGuard ein zweiter Vertrag, der von CoW Swap verwendet wird, um Swap-Ergebnisse zu unterstützen und zu validieren. Diese Genehmigung könnte zum Erfolg des Angriffs beigetragen haben, da SwapGuard beliebige Funktionsaufrufe zulässt. Im Kontext von Smart Contracts ermöglichen beliebige Funktionsaufrufe jedem mit Zugriff auf den Vertrag, jede Funktion innerhalb seines Codes auszuführen.
Ein BlockSec-Sprecher sagte gegenüber The Block, dass es im Vertrag SwapGuard eine Funktion gibt, die Geld an jede beliebige Adresse überweisen kann. Der Angreifer hat die öffentliche Funktion aufgerufen, um die DAI in ihre zu übertragen Adresse.
Das CoW Swap-Team sagte dass der ausgenutzte Abwicklungsvertrag nur Zugriff auf die vom Protokoll in einer Woche erhobenen Gebühren hat und dass der Hacker nicht direkt auf die Gelder der Benutzer zugreifen konnte.
© 2023 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss