Secondo le società di sicurezza PeckShield e BlockSec, l'aggregatore di exchange decentralizzato CoW Swap ha subito un grave hack, con l'aggressore che è scappato con oltre $ 180,000 in fondi.
In qualità di aggregatore di scambio decentralizzato (DEX), l'obiettivo di CoW Swap è fornire agli utenti i migliori prezzi attraverso gli scambi decentralizzati. Tuttavia, un hacker ha preso di mira il suo contratto intelligente di regolamento commerciale, GPv2Settlement, per drenare fondi.
PeckShield ha stimato che l'attaccante abbia drenato circa $ 180,000 di DAI da CoW Swap prima di instradare i fondi attraverso Tornado Cash per ottenere 551 BNB. L'attacco ha preso di mira il GPv2Settlement, un contratto intelligente di regolamento commerciale che fa parte del protocollo CoW Swap alpha (GPv2).
Sembra che l'aggressore abbia indotto con l'inganno il proprietario del contratto GPv2Settlement ad approvare l'uso di SwapGuard, che normalmente non è consentito.
Secondo PeckShield, SwapGuard è un secondo contratto utilizzato da CoW Swap per assistere e convalidare i risultati dello scambio. Questa approvazione potrebbe aver contribuito al successo dell'attacco, poiché SwapGuard consente chiamate di funzioni arbitrarie. Nel contesto degli smart contract, le chiamate di funzione arbitrarie consentono a chiunque abbia accesso al contratto di eseguire qualsiasi funzione all'interno del suo codice.
Un portavoce di BlockSec ha detto a The Block che c'è una funzione nel contratto SwapGuard che può trasferire denaro a qualsiasi indirizzo. L'attaccante ha invocato la funzione pubblica per trasferire il DAI nel proprio indirizzo.
Il team di scambio di mucche disse che il contratto transattivo sfruttato ha accesso solo alle commissioni raccolte dal protocollo in una settimana e che l'hacker non è stato in grado di accedere direttamente ai fondi degli utenti.
© 2023 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss