Втрата в CoW Swap через уразливість смарт-контракту
Нещодавня вразливість смарт-контракту в протоколі децентралізованого фінансування CoW Swap (DeFi) призвела до значної втрати близько 551 BNB, або 181 600 доларів США.
Як почався напад
Зловмисник нібито ввів адресу гаманця в CoW Swap як «розв’язувач», що дозволяє авторизувати перекази DAI до SwapGuard перед перенесенням активів на інші адреси. Компанія з безпеки блокчейнів PeckShield виявила, що контракт GPv2Settlement у CoW Swap був підроблений, щоб дозволити SwapGuard витрачати DAI протягом години після атаки.
Пояснення платформи безпеки блокчейну
Поглиблений аналіз BlockSec показав, що зловмисник може авторизувати транзакції, включивши адресу гаманця як розв’язувач кількох підписів для протоколу. Зловмисник також міг дозволити перекази на інші адреси після того, як було дозволено переказ DAI з розрахункової угоди. Згідно з BlockSec, атака була ініційована недоглядом дозволу максимального значення DAI для SwapGuard, контракту з довільним інтерфейсом виклику, який не повинен був мати жодних надбавок.
Передача активів Tornado Cash
BNB, USDT, USDC і ETH були серед предметів, які були захоплені за допомогою атаки. На сьогоднішній день 551 BNB на суму понад 181 000 доларів США було надіслано до змішувача криптовалют Tornado Cash, авторизованого OFAC. CoW Swap запевнив користувачів, що немає причин для занепокоєння, оскільки вкрадені гроші були накопиченими комісіями за попередній тиждень.
Хакі в криптосвіті останнім часом
Важливо відзначити, що індустрія криптовалют останнім часом зазнала низки кібератак, останніми жертвами яких стали Orion Protocol і BonqDAO, які зазнали збитків у розмірі 3 і 10 мільйонів доларів відповідно.