CoW (Zoufall vu Wëllen) Protokoll , déi dezentraliséiert Finanzplattform iwwer déi CoW Swap gebaut ass, huet vun engem Multisig Attack op säi Settlement Smart Kontrakt gelidden.
D'Bedrohungsoffenbarung gouf fir d'éischt vum MevRefund verëffentlecht, e Blockchain Sécherheetsfuerscher a Whitehat Hacker.
@CoWSwap Är Fongen schéngen ze verschwannen ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Februar 7, 2023
Blockchain Sécherheet Auditfirma PeckShield huet spéider den Ausbeutung bestätegt, d'Verëffentlechung op Twitter publizéiert.
Et schéngt (1) @CoWSwapDem GPv2Settlement Kontrakt gouf viru 10 Deeg tricked fir SwapGuard fir DAI Ausgaben z'accordéieren an (2) SwapGuard gouf just ausgeléist fir DAI aus GPv2Settlement ze transferéieren. Hei sinn déi zwee Zesummenhang Txs: https://t.co/Tb8Sk5xqMR an https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Februar 7, 2023
Weider Detailer an der Exploit waren erkläert vum BlockSec, eng Smart Kontrakt Audit Firma. Laut BlockSec gouf d'Portemonnaieadress vum Bedrohungsakteur als "Léiser" vum CoW Swap iwwer e Multisig bäigefüügt.
E Multisig ass eng Aart vu Krypto-Sécherheetsmoossnamen an där méi wéi eng Kryptografesch Ënnerschrëft vun enger Partei erfuerderlech ass fir eng Transaktioun z'accordéieren. Den Ugräifer huet dësen Zougang dunn benotzt fir de Settlement Smart Kontrakt auszeléisen an 550 BNB an Tornado Cash ze drainéieren, e Krypto Anonymitéit Triichter deen d'Benotzer erméiglecht Transaktiounen ze maskéieren, wat et méi schwéier mécht fir iergendeen aneren se ze verfolgen.
D'Adress vum Bedrohungsakteur huet spéider d'Transaktioun opgeruff fir den DAI vis-à-vis SwapGuard z'approuvéieren, an huet SwapGuard opgefuerdert DAI vum CoW's Swap Siidlungsvertrag op eng Rei vun verschiddenen Adressen ze transferéieren.
Wärend CoW Swap nach keng offiziell Ausso iwwer d'Matière verëffentlecht huet, behaapten d'Entwéckler vum Protokoll datt se schonn un der Schwachstelle schaffen. De Protokoll huet och gesot datt de Siidlungsvertrag vum Exploit nëmmen Zougang zu de Fraisen, déi vum Protokoll innerhalb vun enger Woch gesammelt goufen, mat Benotzerfongen sécher zougräifen, well dës kënnen nëmmen ënnerschriwwe ginn duerch eng Bestellung vun engem Benotzer ausgefouert. Dem CoW Swap säin Team huet d'Benotzer berouegt datt hir Konten net vum Ausbeutung beaflosst bleiwen, a bäigefüügt datt se net erfuerderlech waren, keng virdru Genehmegungen zréckzezéien.
Verzichterklärung: Dësen Artikel gëtt nëmme fir Informatiounszwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht als legal, Steier, Investitioun, finanziell oder aner Berodung ze benotzen.
Quell: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb