DEX aggregator CoW Swap fällt Affer fir $ 180,000 Hack

Dezentraliséierten Austauschaggregator CoW Swap huet e groussen Hack gelidden, mam Ugräifer mat iwwer $180,000 u Fongen, laut Sécherheetsfirmen PeckShield a BlockSec.

Als dezentraliséierten Austausch (DEX) Aggregator ass d'Zil vum CoW Swap d'Benotzer déi bescht Präisser iwwer dezentraliséierter Austausch ze bidden. Wéi och ëmmer, en Hacker huet säin Handelssettlement Smart Kontrakt, GPv2Settlement, gezielt fir Fongen ze drainéieren.

PeckShield schätzt datt den Ugräifer ongeféier $ 180,000 Wäert vun DAI vum CoW Swap drainéiert huet ier hien d'Fongen duerch Tornado Cash rout fir 551 BNB ze kréien. D'Attack huet de GPv2Settlement gezielt, e Smart Siidlungsvertrag deen Deel vum CoW Swap Alpha (GPv2) Protokoll ass.

Et schéngt, datt den Ugräifer de Besëtzer vum GPv2Settlement-Kontrakt getäuscht huet fir d'Benotzung vum SwapGuard z'accordéieren, wat normalerweis net erlaabt ass.

Laut PeckShield ass SwapGuard en zweete Kontrakt dee vum CoW Swap benotzt gëtt fir Tauschresultater ze hëllefen an ze validéieren. Dës Genehmegung kann zum Erfolleg vun der Attack bäigedroen hunn, well SwapGuard erlaabt arbiträr Funktiounsopruff. Am Kontext vu Smart Kontrakter erlaben arbiträr Funktiounsuriff jidderengem mat Zougang zum Kontrakt all Funktioun a sengem Code auszeféieren.  

E BlockSec Spriecher huet dem Block gesot datt et eng Funktioun am Kontrakt SwapGuard ass, déi Sue kann op all Adress transferéieren. Den Ugräifer huet d'ëffentlech Funktioun opgeruff fir den DAI an hir ze transferéieren Adress.

D'CoW Swap Team gesot datt de Siidlungsvertrag, deen exploitéiert gouf, nëmmen Zougang zu de Fraisen huet, déi vum Protokoll an enger Woch gesammelt goufen, an datt den Hacker net direkt Zougang zu Benotzerfongen konnt kréien.

© 2023 The Block Crypto, Inc. All Rechter reservéiert. Dësen Artikel ass nëmme fir Informatioun Zwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht fir als legal, Steier, Investitioun, finanziell oder aner Berodung benotzt ze ginn.