PeckShield жана BlockSec коопсуздук фирмаларынын маалыматы боюнча, борбордон ажыратылган алмашуу агрегатору CoW Swap ири хакерликке кабылган, чабуулчу 180,000 XNUMX доллардан ашык каражатка ээ болгон.
Децентралдаштырылган биржа (DEX) агрегатору катары, CoW Swap'тын максаты колдонуучуларга борбордон ажыратылган биржаларда эң жакшы бааларды берүү болуп саналат. Бирок, хакер өзүнүн соода эсептешүү акылдуу келишимин, GPv2Settlement, каражатты коротуу үчүн максат кылган.
PeckShield чабуулчу 180,000 BNB алуу үчүн Tornado Cash аркылуу каражаттарды багыттоодон мурун CoW Swapтан болжол менен 551 2 долларлык DAIди чыгарып кеткен деп эсептейт. Кол салуу CoW Swap alpha (GPv2) протоколунун бир бөлүгү болгон GPvXNUMXSettlement соода эсептешүү акылдуу келишимине багытталган.
Кыязы, чабуулчу GPv2Settlement келишиминин ээсин SwapGuard колдонууга уруксат берүү үчүн алдап, адатта уруксат берилбейт.
PeckShield айтымында, SwapGuard - бул CoW Swap тарабынан своп натыйжаларына жардам берүү жана текшерүү үчүн колдонулган экинчи келишим. Бул жактыруу чабуулдун ийгилигине салым кошкон болушу мүмкүн, анткени SwapGuard ыктыярдуу функцияларды чакырууга жол берет. Акылдуу контракттардын контекстинде ыктыярдуу функция чалуулары келишимге кирүү мүмкүнчүлүгү бар ар бир адамга анын кодунун чегинде каалаган функцияны аткарууга мүмкүндүк берет.
BlockSec өкүлү The Block компаниясына SwapGuard келишиминде каалаган дарекке акча которо турган функция бар экенин айтты. Чабуулчу DAIди алардын ичине өткөрүү үчүн коомдук функцияны колдонгон дарек.
CoW Swap командасы мындай деди: эксплуатацияланган эсептешүү келишими бир жумада протокол тарабынан чогултулган жыйымдарга гана кире алат жана хакер колдонуучунун каражаттарына түздөн-түз кире албай калган.
© 2023 The Block Crypto, Inc. Бардык укуктар корголгон. Бул макала маалыматтык максатта гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык же башка кеп-кеңеш катары колдонулбайт.
Булак: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss