DeFi Platform CoW Protocol kaotab lepingute kasutamise tõttu üle 550 BNB

Detsentraliseeritud finantseerimisprotokolli (DeFi) CoW Swap on kannatanud nutika lepingu ärakasutamise all, mille tulemusel on kaotatud ligikaudu 551 BNB (181,600 XNUMX dollarit).

Aruannete kohaselt lisas ründaja CoW Swapi "lahendajana" rahakoti aadressi ja kutsus välja tehingu, et kinnitada DAI ülekanne SwapGuardile enne varade teisaldamist teistele aadressidele.

Arvelduslepingu ärakasutamine

Plokiahela inspektor MevRefund märkas rünnakut esimest korda täna varajastel tundidel. Maksimaalse ekstraheeritava väärtuse (MEV) otsija tweeted et CoW Swapi rahalisi vahendeid liigutati, lisades, et protokolli SwapGuardi funktsioonile on antud luba ja see võimaldas kõigil teha "suvalise funktsioonikõnesid".

Tunni jooksul plokiahela turvafirma PeckShield selgus et CoW Swapi GPv2Settlementi lepingut peteti kümme päeva tagasi, kiites SwapGuardile heaks DAI kulutused.

Ärakasutamise ajal käivitas ründaja just SwapGuardi, et viia DAI GPv2Settlementi lepingust välja.

Üksikasjalikumas selgituses avalikustas plokiahela turvaplatvorm BlockSec, et ründaja oli mitme märgiga protokolli lahendajaks lisanud rahakoti aadressi, seega ka võimaluse tehinguid heaks kiita. Kuna DAI ülekanne kinnitati arvelduslepingust, võis ärakasutaja kinnitada ka ülekandeid suvalistele aadressidele.

"Õppetund. Suvalise kõne liidesega lepingul ei tohiks olla soodustusi, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 tegi vea ja kinnitas DAI maksimaalse väärtuse SwapGuardile, mis on rünnaku algpõhjus, "BlockSec ütles.

Üle 181 XNUMX dollari kolis Tornado Cashisse

Ekspluateerija aadressile üle kantud märgid hõlmavad BNB, USDT, USDC ja ETH. Siiani on ligikaudu 551 BNB väärtuses üle 181,000 XNUMX dollari kantud OFAC-i poolt sanktsioneeritud krüptosegistisse Tornado Cash.

Lehma vahetus tungivalt kasutajad ei pea muretsema, kuna varastatud vahendid olid CoW Protocoli eelmise nädala kogunenud tasud. Platvorm teatas, et probleem on leevendatud ja seda praegu uuritakse.

CoW Protocol on uusim DeFi platvorm, mis sel kuul julgete häkkerite käes kannatab. CryptoPotato teatas sellest eelmisel nädalal Orioni protokoll ja BonqDAO olid häkitud, põhjustades kahju vastavalt 3 miljonit ja 10 miljonit dollarit.