Tổn thất khi hoán đổi CoW do tính dễ bị tổn thương trong Hợp đồng thông minh
Một lỗ hổng hợp đồng thông minh gần đây trong giao thức tài chính phi tập trung (DeFi) CoW Swap đã dẫn đến tổn thất đáng kể khoảng 551 BNB, tương đương 181.600 đô la.
Cuộc tấn công bắt đầu như thế nào
Kẻ tấn công bị cáo buộc đã giới thiệu một địa chỉ ví cho CoW Swap với tư cách là “người giải quyết”, cho phép chúng ủy quyền chuyển DAI sang SwapGuard trước khi chuyển tài sản sang các địa chỉ khác. Công ty bảo mật chuỗi khối PeckShield đã phát hiện ra hợp đồng GPv2Settlement trong CoW Swap đã bị lừa khi ủy quyền cho SwapGuard chi tiêu DAI trong vòng một giờ sau vụ tấn công.
Giải thích về nền tảng bảo mật chuỗi khối
Phân tích chuyên sâu của BlockSec đã tiết lộ rằng kẻ tấn công có thể ủy quyền cho các giao dịch bằng cách đưa địa chỉ ví làm bộ giải đa chữ ký cho giao thức. Kẻ tấn công cũng có thể ủy quyền chuyển đến các địa chỉ khác sau khi chuyển DAI từ hợp đồng thanh toán đã được cho phép. Theo BlockSec, cuộc tấn công được bắt đầu bằng việc giám sát việc cho phép giá trị tối đa của DAI đối với SwapGuard, một hợp đồng có giao diện cuộc gọi tùy ý không được phép có bất kỳ khoản phụ cấp nào.
Chuyển tài sản sang Tornado Cash
BNB, USDT, USDC và ETH nằm trong số các mặt hàng đã bị lấy đi sau cuộc tấn công. Cho đến nay, 551 BNB trị giá hơn 181.000 đô la đã được gửi đến bộ trộn tiền điện tử Tornado Cash, được ủy quyền bởi OFAC. Người dùng đã được CoW Swap trấn an rằng không cần phải lo lắng vì số tiền bị đánh cắp là phí tích lũy từ tuần trước.
Các vụ hack trong thế giới tiền điện tử gần đây
Điều quan trọng cần lưu ý là ngành công nghiệp tiền điện tử gần đây đã xảy ra một số cuộc tấn công mạng, với Giao thức Orion và BonqDAO là những nạn nhân gần đây nhất, chịu tổn thất lần lượt là 3 triệu đô la và 10 triệu đô la.