CoW (Rastësia e Dëshirave) Protokoll , platforma e decentralizuar e financave mbi të cilën është ndërtuar CoW Swap, ka vuajtur nga një sulm multisig në kontratën e saj inteligjente të shlyerjes.
Zbulimi i kërcënimit u lëshua fillimisht nga MevRefund, një studiues i sigurisë së blockchain dhe haker i whitehat.
@CoWSwap fondet tuaja duket se po largohen…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Shkurt 7, 2023
Firma e auditimit të sigurisë Blockchain PeckShield më vonë konfirmoi shfrytëzimin, duke e publikuar zbulimin në Twitter.
Duket (1) @CoWSwapKontrata e GPv2Settlement është mashtruar 10 ditë më parë për të miratuar SwapGuard për shpenzimet e DAI dhe (2) SwapGuard sapo u aktivizua për të transferuar DAI nga GPv2Settlement. Këtu janë dy tx-të e lidhura: https://t.co/Tb8Sk5xqMR https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Shkurt 7, 2023
Detaje të mëtejshme në shfrytëzim ishin shpjeguar nga BlockSec, një firmë e zgjuar e auditimit të kontratave. Sipas BlockSec, adresa e portofolit të aktorit të kërcënimit u shtua si një "zgjidhës" i CoW Swap përmes një multisig.
Një multisig është një lloj mase kripto-sigurie në të cilën kërkohet nënshkrimi kriptografik i më shumë se njërës palë për të miratuar një transaksion. Sulmuesi më pas përdori këtë akses për të aktivizuar kontratën inteligjente të shlyerjes dhe për të derdhur 550 BNB në Tornado Cash, një gyp kripto anonimiteti që u mundëson përdoruesve të maskojnë transaksionet, duke e bërë më të vështirë për këdo tjetër që t'i gjurmojë ato.
Adresa e aktorit të kërcënimit më vonë thirri transaksionin në mënyrë që të miratonte DAI-n ndaj SwapGuard, duke e shtyrë SwapGuard të transferonte DAI nga kontrata e shlyerjes së Swap të CoW në një numër adresash të ndryshme.
Ndërsa CoW Swap nuk ka lëshuar ende një deklaratë zyrtare për këtë çështje, zhvilluesit e protokollit pretendojnë se ata tashmë po punojnë për dobësinë. Protokolli thoshte gjithashtu se kontrata e shlyerjes së shfrytëzimit mund të aksesojë tarifat që janë mbledhur nga protokolli vetëm brenda një jave, me fondet e përdoruesit të sigurta, duke pasur parasysh se si këto mund të nënshkruhen vetëm përmes një urdhri të ekzekutuar nga një përdorues. Ekipi i CoW Swap siguroi përdoruesit se llogaritë e tyre do të mbeten të paprekura nga shfrytëzimi, duke shtuar se atyre nuk u kërkohet të revokojnë asnjë miratim paraprak.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.
Burimi: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb