セキュリティ会社の PeckShield と BlockSec によると、分散型取引所アグリゲーター CoW Swap が大規模なハッキングを受け、攻撃者は 180,000 ドル以上の資金を手に入れました。
分散型取引所 (DEX) アグリゲーターとしての CoW Swap の目標は、分散型取引所全体で最高の価格をユーザーに提供することです。 しかし、ハッカーが同社の貿易決済スマート コントラクトである GPv2Settlement を標的にして資金を流出させました。
PeckShield は、攻撃者が CoW Swap から約 180,000 ドル相当の DAI を流出させた後、Tornado Cash を通じて 551 BNB を獲得したと推定しました。 この攻撃は、CoW Swap alpha (GPv2) プロトコルの一部である貿易決済スマート コントラクトである GPv2Settlement を標的にしていました。
攻撃者は、GPv2Settlement コントラクトの所有者をだまして、通常は許可されていない SwapGuard の使用を承認させたようです。
PeckShield によると、SwapGuard は CoW Swap がスワップ結果を支援および検証するために使用する XNUMX 番目のコントラクトです。 SwapGuard は任意の関数呼び出しを許可するため、この承認が攻撃の成功に貢献した可能性があります。 スマート コントラクトのコンテキストでは、任意の関数呼び出しにより、コントラクトにアクセスできる人は誰でもそのコード内の任意の関数を実行できます。
BlockSec の広報担当者は The Block に対し、契約 SwapGuard には任意のアドレスに送金できる機能があると語った。 攻撃者はパブリック関数を呼び出して、DAI を自分の 住所.
CoWスワップチーム と 悪用された決済契約は、XNUMX 週間でプロトコルによって収集された料金にしかアクセスできず、ハッカーはユーザーの資金に直接アクセスできなかった.
©2023 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss