Verlies in CoW Swap vanwege kwetsbaarheid in Smart Contract
Een recente kwetsbaarheid voor slimme contracten in het CoW Swap-protocol voor gedecentraliseerde financiering (DeFi) leidde tot een aanzienlijk verlies van ongeveer 551 BNB, of $ 181.600.
Hoe de aanval begon
Een portemonnee-adres zou door de aanvaller zijn ingevoerd bij CoW Swap als een “oplosser”, waardoor ze DAI-overdrachten naar SwapGuard konden autoriseren voordat de activa naar andere adressen werden overgebracht. Het blockchain-beveiligingsbedrijf PeckShield ontdekte dat het GPv2Settlement-contract in CoW Swap was misleid om SwapGuard te autoriseren voor DAI-uitgaven binnen een uur na de aanval.
De uitleg van Blockchain Security Platform
Diepgaande analyse door BlockSec onthulde dat de aanvaller transacties zou kunnen autoriseren door een portemonnee-adres op te nemen als een multi-sig-oplosser voor het protocol. De aanvaller kon ook toestemming geven voor overdrachten naar andere adressen nadat de DAI-overdracht uit het schikkingscontract was toegestaan. Volgens BlockSec werd de aanval geïnitieerd door het toezicht op het toestaan van de maximale waarde van DAI aan SwapGuard, een contract met een willekeurige oproepinterface die geen rechten had.
Overdracht van activa naar Tornado Cash
BNB, USDT, USDC en ETH behoorden tot de items die met de aanval werden ingenomen. Tot op heden zijn er 551 BNB ter waarde van meer dan $181.000 verzonden naar de Tornado Cash cryptocurrency-mixer, die is geautoriseerd door OFAC. Gebruikers zijn gerustgesteld door CoW Swap dat er geen reden tot bezorgdheid is, aangezien de gestolen gelden de verzamelde vergoedingen van de vorige week waren.
Hacks in de crypto-wereld onlangs
Het is belangrijk op te merken dat de cryptocurrency-industrie onlangs een aantal cyberaanvallen heeft gehad, met Orion Protocol en BonqDAO als de meest recente slachtoffers, met verliezen van respectievelijk $ 3 miljoen en $ 10 miljoen.