El agregador de intercambio descentralizado CoW Swap sufrió un gran ataque, y el atacante se llevó más de $ 180,000 en fondos, según las firmas de seguridad PeckShield y BlockSec.
Como agregador de intercambio descentralizado (DEX), el objetivo de CoW Swap es proporcionar a los usuarios los mejores precios en los intercambios descentralizados. Sin embargo, un pirata informático apuntó a su contrato inteligente de liquidación comercial, GPv2Settlement, para drenar fondos.
PeckShield estimó que el atacante extrajo aproximadamente $180,000 en DAI de CoW Swap antes de enrutar los fondos a través de Tornado Cash para obtener 551 BNB. El ataque tuvo como objetivo GPv2Settlement, un contrato inteligente de liquidación comercial que forma parte del protocolo CoW Swap alpha (GPv2).
Parece que el atacante engañó al propietario del contrato GPv2Settlement para que aprobara el uso de SwapGuard, que normalmente no está permitido.
Según PeckShield, SwapGuard es un segundo contrato utilizado por CoW Swap para ayudar y validar los resultados del intercambio. Esta aprobación puede haber contribuido al éxito del ataque, ya que SwapGuard permite llamadas a funciones arbitrarias. En el contexto de los contratos inteligentes, las llamadas a funciones arbitrarias permiten que cualquier persona con acceso al contrato ejecute cualquier función dentro de su código.
Un portavoz de BlockSec le dijo a The Block que hay una función en el contrato SwapGuard que puede transferir dinero a cualquier dirección. El atacante invocó la función pública para trasladar la DAI a su dirección.
El equipo de intercambio de CoW dijo que el contrato de liquidación que fue explotado solo tiene acceso a las tarifas recaudadas por el protocolo en una semana y que el hacker no pudo acceder directamente a los fondos de los usuarios.
© 2023 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss