DeFi Platform CoW Protocol mister over 550 BNB i kontraktudnyttelse

Decentraliseret finansprotokol (DeFi) CoW Swap har været udsat for en smart kontraktudnyttelse, hvilket har ført til tab af cirka 551 BNB ($181,600).

Ifølge rapporter tilføjede angriberen en tegnebogsadresse som en "solver" af CoW Swap og påberåbte sig en transaktion for at godkende DAI-overførsler til SwapGuard, før aktiverne blev flyttet til andre adresser.

Udnyttelse af en forligskontrakt

Blockchain-inspektøren MevRefund bemærkede først angrebet i de tidlige timer i dag. Søgeren for den maksimale udtrækbare værdi (MEV). Tweetet at CoW Swaps midler blev flyttet, og tilføjede, at protokollens SwapGuard-funktion var blevet tildelt godtgørelse og tillod enhver at foretage "vilkårlige funktionsopkald."

Inden for en time, blockchain-sikkerhedsfirmaet PeckShield afslørede at CoW Swaps GPv2Settlement-kontrakt blev narret for ti dage siden og godkendte SwapGuard til DAI-udgifter.

På tidspunktet for udnyttelsen udløste angriberen netop SwapGuard til at overføre DAI ud af GPv2Settlement-kontrakten.

I en mere detaljeret forklaring afslørede blockchain-sikkerhedsplatformen BlockSec, at angriberen havde tilføjet en tegnebogsadresse som en løser af protokollen af ​​multi-sig, og dermed muligheden for at godkende transaktionerne. Da DAI-overførslen blev godkendt fra forligskontrakten, kunne udnytteren også godkende overførsler til vilkårlige adresser.

"En lektie lært. En kontrakt med grænsefladen for vilkårlige opkald bør ikke have nogen tilladelse, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 lavede fejlen og godkendte den maksimale værdi af DAI til SwapGuard, som er grundårsagen til angrebet," BlockSec sagde.

Over $181k flyttet til Tornado Cash

Tokens, der overføres til udnytterens adresse, omfatter BNB, USDT, USDC og ETH. Indtil videre er omkring 551 BNB til en værdi af over $181,000 blevet flyttet til den OFAC-sanktionerede kryptomixer Tornado Cash.

CoW Swap opfordret til brugere skal ikke bekymre sig, da de stjålne midler var CoW Protocols akkumulerede gebyrer fra den seneste uge. Platformen sagde, at problemet er blevet afhjulpet og er i øjeblikket under undersøgelse.

CoW Protocol er den seneste DeFi-platform, der lider under hænderne på dristige hackere i denne måned. Det rapporterede CryptoPotato i sidste uge Orion-protokol , BonqDAO blev hacket, hvilket førte til tab på henholdsvis 3 millioner dollars og 10 millioner dollars.