Akıllı Sözleşmedeki Güvenlik Açığı Nedeniyle CoW Swap’ta Kayıp
CoW Swap merkezi olmayan finans (DeFi) protokolündeki yakın tarihli bir akıllı sözleşme güvenlik açığı, yaklaşık 551 BNB veya 181.600 ABD Doları tutarında önemli bir kayba yol açtı.
Saldırı Nasıl Başladı?
Saldırgan tarafından CoW Swap’a bir “çözümleyici” olarak bir cüzdan adresi verildiği iddia edildi ve bu adres, varlıkları diğer adreslere aktarmadan önce SwapGuard’a DAI aktarımlarına yetki vermelerini sağladı. Blockchain güvenlik şirketi PeckShield, CoW Swap’taki GPv2Settlement sözleşmesinin, saldırıdan sonraki bir saat içinde SwapGuard’a DAI harcaması için yetki vermek üzere kandırıldığını keşfetti.
Blockchain Security Platform’un açıklaması
BlockSec tarafından yapılan derinlemesine analiz, saldırganın protokol için çoklu imza çözücü olarak bir cüzdan adresi ekleyerek işlemlere yetki verebileceğini ortaya çıkardı. Saldırgan, uzlaşma sözleşmesinden DAI aktarımına izin verildikten sonra başka adreslere aktarımlara da yetki verebildi. BlockSec’e göre saldırı, herhangi bir ödeneğe sahip olmaması gereken rastgele bir çağrı arayüzüne sahip bir sözleşme olan SwapGuard’a maksimum DAI değerine izin verilmesi gözetimi ile başlatıldı.
Varlıkların Tornado Cash’e Transferi
BNB, USDT, USDC ve ETH, saldırı kullanılarak alınan öğeler arasında yer aldı. Bugüne kadar OFAC tarafından yetkilendirilen Tornado Cash kripto para birimi karıştırıcısına 181.000 doların üzerinde değere sahip 551 BNB gönderildi. CoW Swap, çalınan paraların bir önceki haftaya ait birikmiş ücretler olması nedeniyle endişelenmeye gerek olmadığı konusunda kullanıcılara güvence verdi.
Kripto Dünyasında Son Zamanlardaki Hack’ler
Kripto para birimi endüstrisinin son zamanlarda bir dizi siber saldırıya uğradığını, Orion Protokolü ve BonqDAO’nun en son kurbanları olduğunu ve sırasıyla 3 milyon dolar ve 10 milyon dolar kayba uğradığını not etmek önemlidir.