การสูญเสียใน CoW Swap เนื่องจากช่องโหว่ใน Smart Contract
ช่องโหว่สัญญาอัจฉริยะล่าสุดในโปรโตคอล CoW Swap การเงินแบบกระจายอำนาจ (DeFi) นำไปสู่การสูญเสียจำนวนมากประมาณ 551 BNB หรือ 181,600 ดอลลาร์
การโจมตีเริ่มต้นอย่างไร
ผู้โจมตีกล่าวหาว่าที่อยู่กระเป๋าเงินถูกแนะนำให้รู้จักกับ CoW Swap ในฐานะ “ตัวแก้ไข” ทำให้พวกเขาสามารถอนุญาตการโอน DAI ไปยัง SwapGuard ก่อนที่จะโอนเนื้อหาไปยังที่อยู่อื่น บริษัทรักษาความปลอดภัยบล็อคเชน PeckShield ค้นพบว่าสัญญา GPv2Settlement ใน CoW Swap ถูกหลอกให้อนุญาต SwapGuard สำหรับ DAI ที่ใช้จ่ายภายในหนึ่งชั่วโมงหลังจากการโจมตี
คำอธิบายของ Blockchain Security Platform
การวิเคราะห์เชิงลึกโดย BlockSec เปิดเผยว่าผู้โจมตีอาจอนุญาตการทำธุรกรรมโดยรวมที่อยู่กระเป๋าเงินเป็นตัวแก้หลายซิกสำหรับโปรโตคอล ผู้โจมตียังสามารถอนุญาตการถ่ายโอนไปยังที่อยู่อื่นได้ เมื่ออนุญาตให้มีการโอน DAI จากสัญญายุติคดีแล้ว จากข้อมูลของ BlockSec การโจมตีเริ่มต้นจากการกำกับดูแลการอนุญาตให้ใช้ค่าสูงสุดของ DAI กับ SwapGuard ซึ่งเป็นสัญญากับอินเทอร์เฟซการโทรโดยพลการซึ่งไม่ควรมีการอนุญาตใดๆ
โอนสินทรัพย์เป็นเงินสดทอร์นาโด
BNB, USDT, USDC และ ETH เป็นหนึ่งในรายการที่ถูกโจมตีจากการโจมตี จนถึงปัจจุบัน 551 BNB มูลค่ากว่า $181,000 ถูกส่งไปยังเครื่องผสมสกุลเงินดิจิตอล Tornado Cash ซึ่งได้รับอนุญาตจาก OFAC ผู้ใช้มั่นใจได้ด้วย CoW Swap ว่าไม่ต้องกังวลเนื่องจากเงินที่ถูกขโมยนั้นเป็นค่าธรรมเนียมสะสมจากสัปดาห์ที่แล้ว
แฮ็กในโลก Crypto เมื่อเร็ว ๆ นี้
สิ่งสำคัญคือต้องทราบว่าเมื่อเร็วๆ นี้อุตสาหกรรม cryptocurrency มีการโจมตีทางไซเบอร์หลายครั้ง โดย Orion Protocol และ BonqDAO เป็นเหยื่อรายล่าสุด ซึ่งสูญเสียเงิน 3 ล้านเหรียญและ 10 ล้านเหรียญตามลำดับ