Уй (каалоолордун дал келиши) протоколу , CoW Swap курулган борбордон ажыратылган каржы платформасы, анын эсептешүү акылдуу келишимине multisig чабуулунан жапа чеккен.
Коркунучтун ачыкка чыгышын биринчи жолу MevRefund, blockchain коопсуздук изилдөөчүсү жана whitehat хакер чыгарган.
@CoWSwap Сиздин каражаттарыңыз түгөндү окшойт…https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) February 7, 2023
Blockchain коопсуздук аудитордук фирмасы PeckShield кийинчерээк бул эксплуатацияны тастыктап, ачыкка чыгарууну Твиттерде жарыялады.
(1) @CoWSwapGPv2Settlement келишими 10 күн мурун SwapGuard'ты DAI чыгымдары үчүн бекитүү үчүн алданып калган жана (2) SwapGuard жаңы эле GPv2Settlement'тен DAI өткөрүп берүүгө түрткү болгон. Бул жерде эки байланыштуу tx болуп саналат: https://t.co/Tb8Sk5xqMR жана https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) February 7, 2023
Эксплуатация боюнча кошумча маалымат берилди BlockSec тарабынан түшүндүрүлгөн, акылдуу контракттык аудитордук фирма. BlockSec ылайык, коркунуч актер капчык дареги multisig аркылуу CoW Swap "чечүүчү" катары кошулган.
Мультисиг – транзакцияны бекитүү үчүн бирден ашык тараптын криптографиялык колтамгасы талап кылынган крипто-коопсуздук чарасынын бир түрү. Андан кийин чабуулчу бул мүмкүнчүлүктү эсептешүүнүн акылдуу келишимин ишке ашыруу үчүн колдонгон жана 550 BNB Tornado Cash, колдонуучуларга транзакцияларды жаап-жашыруу мүмкүнчүлүгүн берген крипто анонимдүүлүк воронкасы, башка бирөө үчүн аларды көзөмөлдөөнү кыйындаткан.
Коркунуч актерунун дареги кийинчерээк SwapGuardга карата DAIди бекитүү үчүн транзакцияны чакырды, бул SwapGuardга DAIди CoW's Swap эсептешүү келишиминен бир катар ар кандай даректерге которууга түрткү берди.
CoW Swap бул боюнча расмий билдирүү тарата элек, бирок протоколду иштеп чыгуучулар алсыздык менен иштеп жатышат деп ырасташат. Протоколдо ошондой эле эксплуатация боюнча эсептешүү келишими протокол тарабынан чогултулган жыйымдарды колдонуучу тарабынан аткарылган буйрук аркылуу гана кол коюуга болорун эске алуу менен, колдонуучунун каражаттарынын коопсуздугу менен гана кире алат деп айтылат. CoW Swap командасы колдонуучуларды алардын аккаунттары эксплуатациядан эч кандай таасир этпейт деп ишендирип, алардан алдын ала берилген уруксаттарды жокко чыгаруу талап кылынбагандыгын кошумчалады.
Эскертүү: Бул макала маалымат берүү максатында гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык жана башка кеңештер катары колдонулбайт же колдонулбайт.
Булак: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb