Perte de CoW Swap en raison de la vulnérabilité du contrat intelligent
Une récente vulnérabilité de contrat intelligent dans le protocole de financement décentralisé CoW Swap (DeFi) a entraîné une perte substantielle d’environ 551 BNB, soit 181 600 $.
Comment l’attaque a commencé
Une adresse de portefeuille aurait été introduite par l’attaquant dans CoW Swap en tant que « solveur », leur permettant d’autoriser les transferts DAI vers SwapGuard avant de transférer les actifs vers d’autres adresses. La société de sécurité blockchain PeckShield a découvert que le contrat GPv2Settlement dans CoW Swap avait été dupé en autorisant SwapGuard pour les dépenses DAI dans l’heure suivant l’attaque.
Explication de Blockchain Security Platform
Une analyse approfondie par BlockSec a révélé que l’attaquant pourrait autoriser les transactions en incluant une adresse de portefeuille en tant que solveur multi-sig pour le protocole. L’attaquant a également pu autoriser les transferts vers d’autres adresses une fois que le transfert DAI du contrat de règlement avait été autorisé. Selon BlockSec, l’attaque a été initiée par l’omission d’autoriser la valeur maximale de DAI à SwapGuard, un contrat avec une interface d’appel arbitraire qui n’était censée avoir aucune allocation.
Transfert d’actifs à Tornado Cash
BNB, USDT, USDC et ETH figuraient parmi les éléments qui ont été pris à l’aide de l’attaque. À ce jour, 551 BNB d’une valeur de plus de 181 000 $ ont été envoyés au mélangeur de crypto-monnaie Tornado Cash, qui est autorisé par l’OFAC. Les utilisateurs ont été rassurés par CoW Swap qu’il n’y a pas lieu de s’inquiéter puisque les sommes volées étaient les frais accumulés de la semaine précédente.
Hacks dans le monde de la cryptographie récemment
Il est important de noter que l’industrie de la crypto-monnaie a récemment subi un certain nombre de cyberattaques, Orion Protocol et BonqDAO étant les victimes les plus récentes, subissant des pertes de 3 millions de dollars et 10 millions de dollars, respectivement.