CoW (Zufall von Wünschen) Protokoll , die dezentrale Finanzplattform, auf der CoW Swap aufgebaut ist, hat unter einem Multisig-Angriff auf seinen Settlement Smart Contract gelitten.
Die Offenlegung der Bedrohung wurde zuerst von MevRefund, einem Blockchain-Sicherheitsforscher und Whitehat-Hacker, veröffentlicht.
@CoWSwap Ihr Geld scheint zu schwinden …https://t.co/li1NkXNeUp
– MevRefund (@MevRefund) 7. Februar 2023
Die Blockchain-Sicherheitsprüfungsfirma PeckShield bestätigte später den Exploit und veröffentlichte die Offenlegung auf Twitter.
Es scheint (1) @CoWSwapDer GPv2Settlement-Vertrag von wurde vor 10 Tagen ausgetrickst, um SwapGuard für DAI-Ausgaben zu genehmigen, und (2) SwapGuard wurde gerade ausgelöst, um DAI von GPv2Settlement zu übertragen. Hier sind die beiden verwandten TXs: https://t.co/Tb8Sk5xqMR und https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWZeOLzz
- PeckShield Inc. (@peckshield) 7. Februar 2023
Weitere Details zum Exploit waren erklärt von BlockSec, eine intelligente Vertragsprüfungsgesellschaft. Laut BlockSec wurde die Wallet-Adresse des Angreifers als „Solver“ von CoW Swap über eine Multisig hinzugefügt.
Eine Multisig ist eine Art Krypto-Sicherheitsmaßnahme, bei der die kryptografische Signatur von mehr als einer Partei erforderlich ist, um eine Transaktion zu genehmigen. Der Angreifer nutzte diesen Zugang dann, um den Smart Contract auszulösen und 550 BNB in Tornado Cash zu leiten, einen Krypto-Anonymitäts-Trichter, der es Benutzern ermöglicht, Transaktionen zu maskieren, was es für andere schwieriger macht, sie zu verfolgen.
Die Adresse des Bedrohungsakteurs rief später die Transaktion auf, um DAI gegenüber SwapGuard zu genehmigen, was SwapGuard dazu veranlasste, DAI aus dem Swap-Abrechnungsvertrag von CoW an eine Reihe verschiedener Adressen zu übertragen.
Obwohl CoW Swap noch keine offizielle Erklärung zu diesem Thema veröffentlicht hat, behaupten die Entwickler des Protokolls, dass sie bereits an der Schwachstelle arbeiten. Das Protokoll sagte auch, dass der Abwicklungsvertrag des Exploits nur auf die Gebühren zugreifen kann, die vom Protokoll innerhalb einer Woche erhoben wurden, wobei die Gelder der Benutzer sicher sind, da diese nur durch eine von einem Benutzer ausgeführte Bestellung unterzeichnet werden können. Das Team von CoW Swap versicherte den Benutzern, dass ihre Konten von dem Exploit nicht betroffen seien, und fügte hinzu, dass sie keine vorherigen Genehmigungen widerrufen müssten.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb