Agregatori DEX CoW Swap bie viktimë e hakimit prej 180,000 dollarësh

Agregatori i decentralizuar i shkëmbimeve CoW Swap pësoi një hak të madh, me sulmuesin që fitoi mbi 180,000 dollarë fonde, sipas firmave të sigurisë PeckShield dhe BlockSec.

Si një grumbullues i decentralizuar i shkëmbimeve (DEX), qëllimi i CoW Swap është t'u ofrojë përdoruesve çmimet më të mira nëpër shkëmbimet e decentralizuara. Megjithatë, një haker synoi kontratën e tij inteligjente të zgjidhjes tregtare, GPv2Settlement, për të kulluar fondet.

PeckShield vlerësoi se sulmuesi kulloi DAI me vlerë rreth 180,000 dollarë nga CoW Swap përpara se të kalonte fondet përmes Tornado Cash për të marrë 551 BNB. Sulmi kishte në shënjestër GPv2Settlement, një kontratë inteligjente e zgjidhjes tregtare që është pjesë e protokollit CoW Swap alpha (GPv2).

Duket se sulmuesi mashtroi pronarin e kontratës GPv2Settlement për të miratuar përdorimin e SwapGuard, i cili normalisht nuk lejohet.

Sipas PeckShield, SwapGuard është një kontratë e dytë e përdorur nga CoW Swap për të ndihmuar dhe vërtetuar rezultatet e shkëmbimit. Ky miratim mund të ketë kontribuar në suksesin e sulmit, pasi SwapGuard lejon thirrje të funksioneve arbitrare. Në kontekstin e kontratave inteligjente, thirrjet arbitrare të funksioneve lejojnë këdo që ka akses në kontratë të ekzekutojë çdo funksion brenda kodit të saj.  

Një zëdhënës i BlockSec tha për The Block se ka një funksion në kontratën SwapGuard që mund të transferojë para në çdo adresë. Sulmuesi thirri funksionin publik për të transferuar DAI-n në to adresë.

Ekipi CoW Swap tha se kontrata e shlyerjes që është shfrytëzuar ka akses vetëm në tarifat e mbledhura nga protokolli brenda një jave dhe se hakeri nuk ishte në gjendje të aksesonte drejtpërdrejt fondet e përdoruesve.

© 2023 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.