უსაფრთხოების ფირმების PeckShield-ისა და BlockSec-ის თანახმად, დეცენტრალიზებული ბირჟის აგრეგატორმა CoW Swap-მა განიცადა დიდი ჰაკინგი, რომლის დროსაც თავდამსხმელმა 180,000 XNUMX$-ზე მეტი თანხები მოიპოვა.
როგორც დეცენტრალიზებული ბირჟის (DEX) აგრეგატორი, CoW Swap-ის მიზანია მიაწოდოს მომხმარებლებს საუკეთესო ფასები დეცენტრალიზებულ ბირჟებზე. თუმცა, ჰაკერმა მიზნად დაისახა მისი სავაჭრო ანგარიშსწორების ჭკვიანი კონტრაქტი, GPv2Settlement, თანხების გადინების მიზნით.
PeckShield-ის შეფასებით, თავდამსხმელმა ამოიღო დაახლოებით 180,000 აშშ დოლარის ღირებულების DAI CoW Swap-დან, სანამ თანხებს Tornado Cash-ის მეშვეობით გადაიტანდა 551 BNB-ის მისაღებად. თავდასხმა მიზნად ისახავდა GPv2Settlement, სავაჭრო ანგარიშსწორების ჭკვიან კონტრაქტს, რომელიც არის CoW Swap alpha (GPv2) პროტოკოლის ნაწილი.
როგორც ჩანს, თავდამსხმელმა მოატყუა GPv2Settlement კონტრაქტის მფლობელი, რათა დაემტკიცებინა SwapGuard-ის გამოყენება, რაც ჩვეულებრივ დაუშვებელია.
PeckShield-ის თანახმად, SwapGuard არის მეორე კონტრაქტი, რომელსაც CoW Swap იყენებს გაცვლის შედეგების დასახმარებლად და დასადასტურებლად. ამ დამტკიცებამ შესაძლოა ხელი შეუწყო თავდასხმის წარმატებას, რადგან SwapGuard ნებას რთავს თვითნებური ფუნქციების გამოძახებას. ჭკვიანი კონტრაქტების კონტექსტში, თვითნებური ფუნქციის გამოძახებები საშუალებას აძლევს ნებისმიერს, ვისაც აქვს წვდომა კონტრაქტზე, შეასრულოს ნებისმიერი ფუნქცია მის კოდის ფარგლებში.
BlockSec-ის სპიკერმა განუცხადა The Block-ს, რომ SwapGuard-ის კონტრაქტში არის ფუნქცია, რომელსაც შეუძლია ფულის გადარიცხვა ნებისმიერ მისამართზე. თავდამსხმელმა გამოიძახა საჯარო ფუნქცია DAI-ის მათში გადასატანად მისამართი.
CoW Swap გუნდი განაცხადა რომ ანგარიშსწორების კონტრაქტს, რომელიც იქნა ექსპლუატირებული, აქვს წვდომა მხოლოდ პროტოკოლით შეგროვებულ მოსაკრებლებზე ერთი კვირის განმავლობაში და რომ ჰაკერს არ შეეძლო უშუალოდ მომხმარებლის სახსრებზე წვდომა.
© 2023 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
წყარო: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss