Kerugian dalam CoW Swap Karena Kerentanan dalam Smart Contract
Kerentanan smart contract baru-baru ini dalam protokol desentralisasi keuangan (DeFi) Swap CoW menyebabkan kerugian besar sekitar 551 BNB, atau $181.600.
Bagaimana Serangan Dimulai
Alamat dompet diduga diperkenalkan oleh penyerang ke CoW Swap sebagai “pemecah”, memungkinkan mereka untuk mengotorisasi transfer DAI ke SwapGuard sebelum mentransfer aset ke alamat lain. Perusahaan keamanan blockchain PeckShield menemukan kontrak GPv2Settlement di CoW Swap telah ditipu untuk mengizinkan SwapGuard untuk pengeluaran DAI dalam waktu satu jam setelah serangan.
Penjelasan Blockchain Security Platform
Analisis mendalam oleh BlockSec mengungkapkan bahwa penyerang mungkin mengotorisasi transaksi dengan memasukkan alamat dompet sebagai pemecah multi-sig untuk protokol. Penyerang juga dapat mengotorisasi transfer ke alamat lain setelah transfer DAI dari kontrak penyelesaian diizinkan. Menurut BlockSec, serangan itu diprakarsai oleh pengawasan yang mengizinkan nilai maksimum DAI ke SwapGuard, sebuah kontrak dengan antarmuka panggilan sewenang-wenang yang seharusnya tidak memiliki kelonggaran.
Transfer Aset ke Tornado Cash
BNB, USDT, USDC, dan ETH termasuk di antara item yang diambil menggunakan serangan itu. Hingga saat ini, 551 BNB senilai lebih dari $181.000 telah dikirim ke mixer cryptocurrency Tornado Cash, yang disahkan oleh OFAC. Pengguna telah diyakinkan oleh CoW Swap bahwa tidak perlu khawatir karena uang yang dicuri adalah akumulasi biaya dari minggu sebelumnya.
Peretasan di Dunia Crypto Baru-Baru Ini
Penting untuk dicatat bahwa industri cryptocurrency baru-baru ini mengalami sejumlah serangan dunia maya, dengan Orion Protocol dan BonqDAO menjadi korban terbaru, menderita kerugian masing-masing sebesar $3 juta dan $10 juta.