CoW(需求的巧合) 協議 ,建立了 CoW Swap 的去中心化金融平台,其結算智能合約遭受了多重簽名攻擊。
此次威脅披露最先由區塊鏈安全研究員兼白帽黑客 MevRefund 發布。
@CoWSwap 您的資金似乎正在流失……https://t.co/li1NkXNeUp
——MevRefund (@MevRefund) 2023 年 2 月 7 日
區塊鏈安全審計公司 PeckShield 後來證實了這一漏洞,並在 Twitter 上公佈了這一披露。
好像(一) @CoWSwap的 GPv2Settlement 合約在 10 天前被欺騙以批准 SwapGuard 用於 DAI 支出,並且 (2) SwapGuard 剛剛被觸發以從 GPv2Settlement 中轉出 DAI。 這是兩個相關的 tx: https://t.co/Tb8Sk5xqMR 和 https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
— PeckShield Inc.(@peckshield) 2023 年 2 月 7 日
該漏洞利用的更多細節是 BlockSec 解釋,一家智能合約審計公司。 根據 BlockSec 的說法,威脅參與者的錢包地址是通過多重簽名添加為 CoW Swap 的“求解器”。
多重簽名是一種加密安全措施,其中需要多方的加密簽名才能批准交易。 然後,攻擊者使用此訪問權限觸發結算智能合約並將 550 BNB 注入 Tornado Cash,這是一個加密匿名漏斗,使用戶能夠掩蓋交易,使其他任何人都更難追踪它們。
威脅參與者的地址後來調用了交易,以批准 DAI 進入 SwapGuard,促使 SwapGuard 將 DAI 從 CoW 的 Swap 結算合約轉移到多個不同的地址。
雖然 CoW Swap 尚未就此事發布官方聲明,但該協議的開發人員聲稱他們已經在努力解決該漏洞。 該協議還表示,該漏洞利用的結算合約只能訪問該協議在一周內收取的費用,用戶資金是安全的,因為這些費用只能通過用戶執行的訂單進行簽署。 CoW Swap 的團隊向用戶保證,他們的賬戶不會受到該漏洞的影響,並補充說他們不需要撤銷任何先前的批准。
免責聲明:本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
來源:https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb