據安全公司 PeckShield 和 BlockSec 稱,去中心化交易聚合商 CoW Swap 遭受了一次重大黑客攻擊,攻擊者竊取了超過 180,000 美元的資金。
作為去中心化交易所(DEX)聚合商,CoW Swap 的目標是為用戶提供跨去中心化交易所的最優價格。 然而,黑客以其貿易結算智能合約 GPv2Settlement 為目標,以耗盡資金。
PeckShield 估計,攻擊者在通過 Tornado Cash 路由資金以獲得 180,000 BNB 之前,從 CoW Swap 中抽取了價值約 551 美元的 DAI。 該攻擊針對 GPv2Settlement,這是一種貿易結算智能合約,是 CoW Swap alpha (GPv2) 協議的一部分。
看起來攻擊者欺騙了 GPv2Settlement 合約的所有者批准使用 SwapGuard,這通常是不允許的。
根據 PeckShield 的說法,SwapGuard 是 CoW Swap 用來協助和驗證交換結果的第二份合約。 這種批准可能促成了攻擊的成功,因為 SwapGuard 允許任意函數調用。 在智能合約的上下文中,任意函數調用允許任何有權訪問合約的人在其代碼中執行任何函數。
BlockSec 發言人告訴 The Block,合約 SwapGuard 中有一個功能可以將資金轉移到任何地址。 攻擊者調用公共函數將 DAI 轉移到他們的 地址.
CoW Swap 團隊 說過 被利用的結算合約只能訪問協議在一周內收取的費用,黑客無法直接訪問用戶資金。
©2023 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss