CoW(ウォンツの一致) プロトコール CoW Swap が構築されている分散型金融プラットフォームである は、その決済スマート コントラクトに対するマルチシグ攻撃に苦しんでいます。
脅威の開示は、ブロックチェーン セキュリティ研究者でありホワイトハット ハッカーである MevRefund によって最初に公開されました。
@CoWSwap あなたの資金は動き回っているようです…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) 2023 年 2 月 7 日
ブロックチェーンのセキュリティ監査会社である PeckShield は、後にエクスプロイトを確認し、Twitter で開示を公表しました。
みたいです (1) @CoWSwapの GPv2Settlement 契約は 10 日前にだまされて、SwapGuard による DAI の支出を承認され、(2) SwapGuard はちょうど GPv2Settlement から DAI を転送するようにトリガーされました。 関連する XNUMX つの tx を次に示します。 https://t.co/Tb8Sk5xqMR & https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc.(@peckshield) 2023 年 2 月 7 日
エクスプロイトの詳細は次のとおりです。 BlockSecによる説明、スマート コントラクト監査会社。 BlockSec によると、攻撃者のウォレット アドレスは、マルチシグ経由で CoW Swap の「ソルバー」として追加されました。
マルチシグは、トランザクションを承認するために複数の当事者の暗号署名が必要な暗号セキュリティ手段の一種です。 次に、攻撃者はこのアクセスを使用して決済スマート コントラクトをトリガーし、550 BNB をトルネード キャッシュに流出させました。トルネード キャッシュは、ユーザーがトランザクションをマスクできるようにする暗号匿名ファネルであり、他の誰かがトランザクションを追跡するのを困難にします。
脅威アクターのアドレスは、SwapGuard に対して DAI を承認するためにトランザクションを呼び出し、SwapGuard に CoW のスワップ決済契約から DAI を多数の異なるアドレスに転送するよう促しました。
CoW Swap はこの問題に関する公式声明をまだ発表していませんが、プロトコルの開発者は、すでに脆弱性に取り組んでいると主張しています。 プロトコルはまた、エクスプロイトの決済契約は、ユーザーが実行した注文によってのみ署名できることを考えると、XNUMX週間以内にプロトコルによって収集された料金にのみアクセスでき、ユーザーの資金は安全であると述べています. CoW Swap のチームは、ユーザーのアカウントがエクスプロイトの影響を受けないことをユーザーに保証し、以前の承認を取り消す必要はないと付け加えました。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。
ソース: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb