Mucca (coincidenza dei desideri) Protocollo , la piattaforma di finanza decentralizzata su cui è costruito CoW Swap, ha subito un attacco multisig al suo contratto intelligente di regolamento.
La divulgazione della minaccia è stata rilasciata per la prima volta da MevRefund, un ricercatore di sicurezza blockchain e hacker whitehat.
@CoWSwap i tuoi fondi sembrano andare via...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) 7 Febbraio 2023
La società di revisione della sicurezza blockchain PeckShield ha successivamente confermato l'exploit, pubblicizzando la divulgazione su Twitter.
Sembra (1) @CoWSwapIl contratto GPv2Settlement di è stato ingannato 10 giorni fa per approvare SwapGuard per la spesa DAI e (2) SwapGuard è stato appena attivato per trasferire DAI da GPv2Settlement. Ecco i due tx correlati: https://t.co/Tb8Sk5xqMR ed https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) 7 Febbraio 2023
Ulteriori dettagli sull'exploit sono stati spiegato da BlockSec, una società di revisione dei contratti intelligenti. Secondo BlockSec, l'indirizzo del portafoglio dell'attore della minaccia è stato aggiunto come "risolutore" di CoW Swap tramite un multisig.
Un multisig è un tipo di misura di sicurezza crittografica in cui è richiesta la firma crittografica di più di una parte per approvare una transazione. L'attaccante ha quindi utilizzato questo accesso per attivare il contratto intelligente di regolamento e drenare 550 BNB in Tornado Cash, un imbuto di anonimato crittografico che consente agli utenti di mascherare le transazioni, rendendo più difficile per chiunque altro rintracciarle.
L'indirizzo dell'autore della minaccia ha successivamente invocato la transazione per approvare il DAI nei confronti di SwapGuard, spingendo SwapGuard a trasferire il DAI dal contratto di transazione Swap di CoW a una serie di indirizzi diversi.
Sebbene CoW Swap non abbia ancora rilasciato una dichiarazione ufficiale in merito, gli sviluppatori del protocollo affermano che stanno già lavorando alla vulnerabilità. Il protocollo ha anche affermato che il contratto di liquidazione dell'exploit può accedere solo alle commissioni che sono state raccolte dal protocollo entro una settimana, con i fondi degli utenti al sicuro, dato che questi possono essere firmati solo attraverso un ordine eseguito da un utente. Il team di CoW Swap ha rassicurato gli utenti che i loro account non sarebbero stati interessati dall'exploit, aggiungendo che non erano tenuti a revocare alcuna approvazione precedente.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb