CoW (coincidencia de deseos) Protocolo , la plataforma financiera descentralizada sobre la que se construye CoW Swap, sufrió un ataque multisig en su contrato inteligente de liquidación.
La divulgación de amenazas fue publicada por primera vez por MevRefund, un investigador de seguridad de blockchain y hacker de sombrero blanco.
@CoWSwap parece que sus fondos se están yendo...https://t.co/li1NkXNeUp
— MevReembolso (@MevReembolso) Febrero 7, 2023
La firma de auditoría de seguridad de Blockchain, PeckShield, confirmó más tarde el exploit y publicó la divulgación en Twitter.
parece (1) @CoWSwapEl contrato GPv2Settlement de se engañó hace 10 días para aprobar SwapGuard para el gasto de DAI y (2) SwapGuard acaba de activarse para transferir DAI desde GPv2Settlement. Aquí están los dos tx relacionados: https://t.co/Tb8Sk5xqMR y https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Febrero 7, 2023
Más detalles sobre el exploit fueron explicado por BlockSec, una firma de auditoría de contratos inteligentes. Según BlockSec, la dirección de la billetera del actor de amenazas se agregó como un "solucionador" de CoW Swap a través de un multisig.
Un multisig es un tipo de medida de criptoseguridad en la que se requiere la firma criptográfica de más de una parte para aprobar una transacción. Luego, el atacante usó este acceso para activar el contrato inteligente de liquidación y drenar 550 BNB en Tornado Cash, un embudo de anonimato criptográfico que permite a los usuarios enmascarar transacciones, lo que dificulta que cualquier otra persona las rastree.
La dirección del actor de amenazas luego invocó la transacción para aprobar DAI hacia SwapGuard, lo que provocó que SwapGuard transfiriera DAI del contrato de liquidación de Swap de CoW a varias direcciones diferentes.
Si bien CoW Swap aún no ha publicado una declaración oficial al respecto, los desarrolladores del protocolo afirman que ya están trabajando en la vulnerabilidad. El protocolo también dijo que el contrato de liquidación del exploit solo puede acceder a las tarifas que ha cobrado el protocolo dentro de una semana, con los fondos del usuario seguros, dado que estos solo pueden firmarse a través de una orden ejecutada por un usuario. El equipo de CoW Swap aseguró a los usuarios que sus cuentas no se verían afectadas por el exploit y agregó que no estaban obligados a revocar ninguna aprobación previa.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb