Verlust im CoW Swap aufgrund einer Schwachstelle im Smart Contract
Eine kürzlich aufgetretene Smart-Contract-Schwachstelle im DeFi-Protokoll (CoW Swap Decentralized Finance) führte zu einem erheblichen Verlust von rund 551 BNB oder 181.600 $.
Wie der Angriff begann
Der Angreifer hat CoW Swap angeblich eine Wallet-Adresse als „Solver“ eingeführt, die es ihnen ermöglicht, DAI-Übertragungen an SwapGuard zu autorisieren, bevor die Vermögenswerte an andere Adressen übertragen werden. Das Blockchain-Sicherheitsunternehmen PeckShield entdeckte, dass der GPv2Settlement-Vertrag in CoW Swap dazu verleitet worden war, SwapGuard innerhalb einer Stunde nach dem Angriff für DAI-Ausgaben zu autorisieren.
Die Erklärung der Blockchain Security Platform
Eine eingehende Analyse von BlockSec ergab, dass der Angreifer Transaktionen autorisieren könnte, indem er eine Wallet-Adresse als Multi-Sig-Solver für das Protokoll einbezieht. Der Angreifer konnte auch Überweisungen an andere Adressen autorisieren, nachdem die DAI-Übertragung aus dem Vergleichsvertrag zugelassen worden war. Laut BlockSec wurde der Angriff durch das Versehen initiiert, SwapGuard, einem Vertrag mit einer beliebigen Anrufschnittstelle, die keine Genehmigungen haben sollte, den maximalen Wert von DAI zu gewähren.
Übertragung von Vermögenswerten an Tornado Cash
BNB, USDT, USDC und ETH gehörten zu den Gegenständen, die bei dem Angriff gestohlen wurden. Bis heute wurden 551 BNB im Wert von über 181.000 $ an den Kryptowährungsmixer Tornado Cash gesendet, der von OFAC autorisiert ist. Den Benutzern wurde von CoW Swap versichert, dass kein Grund zur Sorge besteht, da es sich bei den gestohlenen Geldern um die angesammelten Gebühren der Vorwoche handelte.
Hacks in der Kryptowelt in letzter Zeit
Es ist wichtig zu beachten, dass die Kryptowährungsbranche in letzter Zeit eine Reihe von Cyberangriffen hatte, wobei Orion Protocol und BonqDAO die jüngsten Opfer waren und Verluste von 3 Millionen bzw. 10 Millionen US-Dollar erlitten.