Agregator pertukaran terdesentralisasi CoW Swap mengalami peretasan besar, dengan penyerang menghasilkan dana lebih dari $180,000, menurut perusahaan keamanan PeckShield dan BlockSec.
Sebagai agregator bursa terdesentralisasi (DEX), tujuan CoW Swap adalah memberikan harga terbaik kepada pengguna di seluruh bursa terdesentralisasi. Namun, seorang peretas menargetkan kontrak pintar penyelesaian perdagangannya, GPv2Settlement, untuk menguras dana.
PeckShield memperkirakan bahwa penyerang menguras DAI senilai sekitar $180,000 dari CoW Swap sebelum merutekan dana tersebut melalui Tornado Cash untuk mendapatkan 551 BNB. Serangan itu menargetkan GPv2Settlement, kontrak pintar penyelesaian perdagangan yang merupakan bagian dari protokol CoW Swap alpha (GPv2).
Tampaknya penyerang menipu pemilik kontrak GPv2Settlement agar menyetujui penggunaan SwapGuard, yang biasanya tidak diizinkan.
Menurut PeckShield, SwapGuard adalah kontrak kedua yang digunakan oleh CoW Swap untuk membantu dan memvalidasi hasil swap. Persetujuan ini mungkin berkontribusi pada keberhasilan serangan, karena SwapGuard memungkinkan pemanggilan fungsi sewenang-wenang. Dalam konteks kontrak pintar, pemanggilan fungsi sewenang-wenang memungkinkan siapa pun yang memiliki akses ke kontrak untuk menjalankan fungsi apa pun di dalam kodenya.
Seorang juru bicara BlockSec memberi tahu The Block bahwa ada fungsi dalam kontrak SwapGuard yang dapat mentransfer uang ke alamat mana pun. Penyerang memanggil fungsi publik untuk mentransfer DAI ke mereka alamat.
Tim Swap Kontrak Karya tersebut bahwa kontrak penyelesaian yang dieksploitasi hanya memiliki akses ke biaya yang dikumpulkan oleh protokol dalam seminggu dan peretas tidak dapat mengakses dana pengguna secara langsung.
© 2023 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss