分散型金融 (DeFi) プロトコルの CoW Swap がスマート コントラクトの悪用に見舞われ、約 551 BNB ($181,600) が失われました。
報告によると、攻撃者は CoW Swap の「ソルバー」としてウォレット アドレスを追加し、資産を他のアドレスに移動する前に SwapGuard への DAI 転送を承認するトランザクションを呼び出しました。
和解契約の悪用
ブロックチェーンの調査会社である MevRefund は、今日の早朝に攻撃に最初に気づきました。 最大抽出可能値 (MEV) サーチャー ツイート CoW Swap の資金が移動され、プロトコルの SwapGuard 機能が許可され、誰でも「任意の関数呼び出し」を行うことができるようになったと付け加えました。
XNUMX 時間以内に、ブロックチェーン セキュリティ会社 PeckShield 明らかになった CoW Swap の GPv2Settlement コントラクトが XNUMX 日前にだまされ、SwapGuard の DAI 支出が承認されました。
エクスプロイトの時点で、攻撃者は SwapGuard をトリガーして DAI を GPv2Settlement コントラクトから転送しました。
より詳細な説明では、ブロックチェーン セキュリティ プラットフォーム BlockSec は、攻撃者がウォレット アドレスをマルチシグによるプロトコルのソルバーとして追加したことを明らかにしました。これにより、トランザクションを承認することができます。 DAI の転送は決済契約から承認されているため、利用者は任意のアドレスへの転送も承認できます。
「教訓。 任意呼び出しのインターフェースとのコントラクトには何の余裕もありません。0x55a37a2e5e5973510ac9d9c723aec213fa161919 が間違いを犯し、DAI の最大値を SwapGuard に承認しました。これが攻撃の根本原因です」と BlockSec は述べています。 と.
181 万 XNUMX ドル以上が Tornado Cash に移動
利用者のアドレスに転送されるトークンには、BNB、USDT、USDC、および ETH が含まれます。 これまでのところ、551ドルを超える価値のある約181,000のBNBが、OFAC認可の暗号ミキサーTornado Cashに移されました。
カウスワップ 促された 盗まれた資金は過去 XNUMX 週間の CoW Protocol の累積料金であるため、ユーザーは心配する必要はありません。 プラットフォームは、問題が軽減され、現在調査中であると述べました。
CoW Protocol は、今月大胆なハッカーの手によって被害を受けた最新の DeFi プラットフォームです。 CryptoPotato は先週、次のように報告しました。 Orionプロトコル & ボンクダオ ハッキングされ、それぞれ 3 万ドルと 10 万ドルの損失をもたらしました。
Binance Free $ 100(独占): このリンクを使用する Binance Futuresの最初の月に登録して$ 100の無料と10%の手数料を受け取る (条件).
PrimeXBT特別オファー: このリンクを使用する 登録してPOTATO50コードを入力すると、最大$ 7,000のデポジットを受け取ることができます。
ソース: https://cryptopotato.com/defi-platform-cow-protocol-loses-over-550-bnb-in-contract-exploit/