Потеря CoW Swap из-за уязвимости в смарт-контракте
Недавняя уязвимость смарт-контракта в протоколе децентрализованного финансирования (DeFi) CoW Swap привела к значительным потерям в размере около 551 BNB, или 181 600 долларов США.
Как началась атака
Адрес кошелька якобы был введен злоумышленником в CoW Swap в качестве «решателя», позволяющего им авторизовать передачу DAI в SwapGuard перед передачей активов на другие адреса. Компания PeckShield, занимающаяся безопасностью блокчейна, обнаружила, что контракт GPv2Settlement в CoW Swap был обманут, чтобы разрешить SwapGuard использовать DAI в течение часа после атаки.
Объяснение платформы безопасности блокчейна
Углубленный анализ, проведенный BlockSec, показал, что злоумышленник может авторизовать транзакции, включив адрес кошелька в качестве решателя с несколькими подписями для протокола. Злоумышленник также смог авторизовать переводы на другие адреса после того, как перевод DAI из расчетного контракта был разрешен. По данным BlockSec, атака была инициирована по недосмотру предоставления максимального значения DAI для SwapGuard, контракта с произвольным интерфейсом вызова, который не должен был иметь никаких разрешений.
Перевод активов в Tornado Cash
BNB, USDT, USDC и ETH были среди предметов, которые были похищены с помощью атаки. На сегодняшний день 551 BNB на сумму более 181 000 долларов США были отправлены на миксер криптовалюты Tornado Cash, авторизованный OFAC. CoW Swap заверил пользователей, что беспокоиться не о чем, поскольку украденные деньги были накопленными сборами за предыдущую неделю.
Взломы в криптомире в последнее время
Важно отметить, что криптовалютная индустрия недавно пережила ряд кибератак, самыми последними из которых стали Orion Protocol и BonqDAO, понесшие убытки в размере 3 и 10 миллионов долларов США соответственно.