Giao thức tài chính phi tập trung (DeFi) CoW Swap đã bị một cuộc tấn công hợp đồng thông minh, dẫn đến thiệt hại khoảng 551 BNB ($181,600).
Theo báo cáo, kẻ tấn công đã thêm một địa chỉ ví làm “bộ giải” cho CoW Swap và thực hiện một giao dịch để phê duyệt việc chuyển DAI sang SwapGuard trước khi chuyển tài sản sang các địa chỉ khác.
Khai thác lỗ hổng hợp đồng dàn xếp
Nhà điều tra chuỗi khối MevRefund lần đầu tiên nhận thấy cuộc tấn công vào sáng sớm hôm nay.Công cụ tìm giá trị có thể trích xuất tối đa (MEV) tweet Các quỹ CoW Swap đang được chuyển, bổ sung thêm rằng tính năng SwapGuard của giao thức được cho phép và cho phép bất kỳ ai “gọi chức năng tùy ý”.
trong vòng một giờ, blockchain Hãng bảo mật PeckShield tiết lộ Mười ngày trước, hợp đồng GPv2Settlement của CoW Swap đã bị lừa phê duyệt SwapGuard cho các khoản thanh toán DAI.
Khi khai thác, kẻ tấn công chỉ cần kích hoạt SwapGuard để chuyển DAI ra khỏi hợp đồng GPv2Settlement.
Trong một lời giải thích chi tiết hơn, blockchain Nền tảng bảo mật BlockSec tiết lộ rằng kẻ tấn công đã thêm địa chỉ ví làm bộ giải giao thức thông qua đa chữ ký, do đó có khả năng phê duyệt giao dịch. Vì chuyển khoản DAI được chấp thuận bởi hợp đồng thanh toán, nên các nhà phát triển cũng có thể phê duyệt chuyển khoản đến các địa chỉ tùy ý.
“Bài học rút ra. Các hợp đồng với giao diện gọi tùy ý không nên có bất kỳ khoảng thời gian nào, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 đã phê duyệt nhầm giá trị DAI tối đa cho SwapGuard, đây là nguyên nhân gốc rễ của cuộc tấn công,” BlockSec giải thích.
Hơn $181,000 được chuyển vào Tornado Cash
Các mã thông báo được chuyển đến địa chỉ của người khai thác bao gồm BNB, USDT, USDC và ETH. Cho đến nay, khoảng 551 BNB trị giá hơn 181.000 đô la đã được chuyển sang bộ trộn tiền điện tử Tornado Cash được OFAC phê duyệt.
trao đổi bò thúc giục Người dùng không cần phải lo lắng vì số tiền bị đánh cắp là chi phí tích lũy của Giao thức CoW trong tuần qua. Nền tảng cho biết vấn đề đã được giảm thiểu và hiện đang được điều tra.
Giao thức CoW là nền tảng DeFi mới nhất bị hack táo bạo trong tháng này. CryptoPotato đã báo cáo vào tuần trước rằng Giao thức Orion Và BonqDAO đã bị hack, dẫn đến thiệt hại lần lượt là 3 triệu đô la và 10 triệu đô la.
