Perda na troca de CoW devido à vulnerabilidade no contrato inteligente
Uma recente vulnerabilidade de contrato inteligente no protocolo de finanças descentralizadas (DeFi) CoW Swap levou a uma perda substancial de cerca de 551 BNB, ou US$ 181.600.
Como o ataque começou
Um endereço de carteira foi supostamente introduzido pelo invasor no CoW Swap como um “resolvedor”, permitindo que eles autorizassem transferências DAI para o SwapGuard antes de transferir os ativos para outros endereços. A empresa de segurança blockchain PeckShield descobriu que o contrato GPv2Settlement em CoW Swap havia sido enganado para autorizar SwapGuard para gastos com DAI dentro de uma hora após o ataque.
Explicação da Blockchain Security Platform
A análise aprofundada da BlockSec revelou que o invasor pode autorizar transações incluindo um endereço de carteira como um solucionador multi-sig para o protocolo. O invasor também foi capaz de autorizar transferências para outros endereços uma vez que a transferência DAI do contrato de liquidação foi permitida. De acordo com a BlockSec, o ataque foi iniciado pelo descuido de permitir o valor máximo de DAI ao SwapGuard, um contrato com uma interface de chamada arbitrária que não deveria ter nenhuma permissão.
Transferência de Ativos para Tornado Cash
BNB, USDT, USDC e ETH estavam entre os itens que foram levados com o ataque. Até o momento, 551 BNB no valor de mais de $ 181.000 foram enviados para o misturador de criptomoedas Tornado Cash, que é autorizado pela OFAC. Os usuários foram assegurados pelo CoW Swap de que não há necessidade de preocupação, pois o dinheiro roubado eram as taxas acumuladas na semana anterior.
Hacks no mundo das criptomoedas recentemente
É importante observar que a indústria de criptomoedas sofreu recentemente vários ataques cibernéticos, com Orion Protocol e BonqDAO sendo as vítimas mais recentes, sofrendo perdas de US$ 3 milhões e US$ 10 milhões, respectivamente.