ძროხა (სურვილების დამთხვევა) ოქმი , დეცენტრალიზებული საფინანსო პლატფორმა, რომელზედაც აგებულია CoW Swap, განიცადა მრავალმხრივი შეტევა მისი დასახლების სმარტ კონტრაქტზე.
საფრთხის გამჟღავნება პირველად გამოაქვეყნა MevRefund-მა, ბლოკჩეინის უსაფრთხოების მკვლევარმა და whitehat ჰაკერმა.
@CoWSwap როგორც ჩანს, თქვენი სახსრები მიდის...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) თებერვალი 7, 2023
ბლოკჩეინის უსაფრთხოების აუდიტორულმა ფირმა PeckShield-მა მოგვიანებით დაადასტურა ეს ექსპლუატაცია, რომელიც აქვეყნებს ინფორმაციას Twitter-ზე.
როგორც ჩანს (1) @CoWSwapGPv2Settlement-ის კონტრაქტი მოტყუებულ იქნა 10 დღის წინ, რათა დაამტკიცოს SwapGuard DAI-ის ხარჯვისთვის და (2) SwapGuard-მა ახლახან დაიწყო DAI-ს GPv2Settlement-დან გადაცემა. აქ არის ორი დაკავშირებული tx: https://t.co/Tb8Sk5xqMR მდე https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) თებერვალი 7, 2023
ექსპლოიტის შესახებ დამატებითი დეტალები იყო განმარტა BlockSec-მა, ჭკვიანი კონტრაქტის აუდიტორული ფირმა. BlockSec-ის თანახმად, საფრთხის აქტორის საფულის მისამართი დაემატა, როგორც CoW Swap-ის „გამხსნელი“ multisig-ის საშუალებით.
Multisig არის კრიპტო-უსაფრთხოების ღონისძიების ტიპი, რომლის დროსაც საჭიროა ერთზე მეტი მხარის კრიპტოგრაფიული ხელმოწერა ტრანზაქციის დასამტკიცებლად. შემდეგ თავდამსხმელმა გამოიყენა ეს წვდომა ანგარიშსწორების ჭკვიანური კონტრაქტის გასააქტიურებლად და 550 BNB ჩასატვირთად Tornado Cash-ში, კრიპტო ანონიმურობის ძაბრში, რომელიც საშუალებას აძლევს მომხმარებლებს დაფარონ ტრანზაქციები, რაც სხვას გაურთულებს მათ მიკვლევას.
საფრთხის მოქმედი პირის მისამართი მოგვიანებით გამოიყენა ტრანზაქცია, რათა დაემტკიცებინა DAI SwapGuard-ის მიმართ, რის გამოც SwapGuard-ს აიძულა გადაეტანა DAI CoW-ის Swap ანგარიშსწორების ხელშეკრულებიდან სხვადასხვა მისამართზე.
მიუხედავად იმისა, რომ CoW Swap-ს ჯერ არ გამოუქვეყნებია ოფიციალური განცხადება ამ საკითხთან დაკავშირებით, პროტოკოლის შემქმნელები აცხადებენ, რომ ისინი უკვე მუშაობენ დაუცველობაზე. პროტოკოლში ასევე ნათქვამია, რომ ექსპლოიტის ანგარიშსწორების კონტრაქტზე წვდომა შესაძლებელია მხოლოდ პროტოკოლით შეგროვებულ მოსაკრებლებზე ერთი კვირის განმავლობაში, მომხმარებლის სახსრების დაცვით, იმის გათვალისწინებით, რომ მათი ხელმოწერა შესაძლებელია მხოლოდ მომხმარებლის მიერ შესრულებული შეკვეთით. CoW Swap-ის გუნდმა დაარწმუნა მომხმარებლები, რომ მათი ანგარიშები დარჩებოდა ექსპლოიტის გარეშე და დასძინა, რომ მათ არ მოეთხოვებათ რაიმე წინასწარი დამტკიცების გაუქმება.
უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.
წყარო: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb