Сиыр (қалаулардың сәйкестігі) Хаттама , CoW Swap салынған орталықтандырылмаған қаржы платформасы өзінің есеп айырысу смарт келісімшартына мультисиг шабуылынан зардап шекті.
Қауіпті ашуды алғаш рет MevRefund, блокчейн қауіпсіздігін зерттеуші және whitehat хакері шығарды.
@CoWSwap сіздің қаражатыңыз жоғалып жатқан сияқты ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Ақпан 7, 2023
Blockchain қауіпсіздік аудиторлық фирмасы PeckShield кейінірек Twitter-де ашуды жариялап, эксплуатацияны растады.
(1) @CoWSwapGPv2Settlement келісімшарты 10 күн бұрын DAI шығыстары үшін SwapGuard-ды мақұлдау үшін алданып қалды және (2) SwapGuard GPv2Settlement жүйесінен DAI беру үшін жаңа ғана іске қосылды. Міне, екі байланысты tx: https://t.co/Tb8Sk5xqMR және https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Ақпан 7, 2023
Эксплуатация туралы қосымша мәліметтер болды BlockSec түсіндірді, ақылды келісім-шарт бойынша аудиторлық фирма. BlockSec мәліметтері бойынша, қауіпті актердің әмиян мекенжайы мультисиг арқылы CoW Swap «шешуші» ретінде қосылды.
Мультисиг – транзакцияны мақұлдау үшін бірнеше тараптың криптографиялық қолтаңбасы қажет болатын крипто-қауіпсіздік шарасының түрі. Содан кейін шабуылдаушы есеп айырысу смарт-келісімшартын іске қосу және 550 BNB-ді Tornado Cash-қа, пайдаланушыларға транзакцияларды жасыруға мүмкіндік беретін крипто-анонимдік шұңқырға төгу үшін пайдаланды, бұл басқа біреудің оларды қадағалауын қиындатады.
Қауіпті актердің мекен-жайы кейінірек SwapGuard-қа қатысты DAI-ді мақұлдау үшін транзакцияны шақырды, бұл SwapGuard-ты CoW's Swap есеп айырысу келісімшартынан DAI-ді бірнеше түрлі мекенжайларға ауыстыруға шақырды.
CoW Swap бұл мәселе бойынша әлі ресми мәлімдеме жасамағанымен, хаттаманы әзірлеушілер осалдықпен жұмыс істеп жатыр деп мәлімдейді. Хаттамада сонымен қатар эксплуатация бойынша есеп айырысу келісім-шартына тек бір апта ішінде хаттамамен жиналған төлемдерге қол жеткізуге болады, бұл пайдаланушының қаражаты қорғалған жағдайда, оларға тек пайдаланушы орындаған бұйрық арқылы қол қоюға болады. CoW Swap командасы пайдаланушыларды олардың есептік жазбаларына эксплуат әсер етпейтініне сендірді және олардан алдын ала рұқсаттарды қайтарып алу талап етілмейтінін айтты.
Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.
Дереккөз: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb