عانى مجمع التبادل اللامركزي CoW Swap من اختراق كبير ، حيث حقق المهاجم أكثر من 180,000 ألف دولار من الأموال ، وفقًا لشركتي الأمن PeckShield و BlockSec.
كمجمع تبادل لامركزي (DEX) ، فإن هدف CoW Swap هو تزويد المستخدمين بأفضل الأسعار عبر البورصات اللامركزية. ومع ذلك ، استهدف أحد المتسللين عقد التسوية التجارية الذكي GPv2Settlement لاستنزاف الأموال.
قدرت PeckShield أن المهاجم استنفد ما يقرب من 180,000،551 دولار من DAI من CoW Swap قبل توجيه الأموال عبر Tornado Cash للحصول على 2 BNB. استهدف الهجوم GPv2Settlement ، وهو عقد ذكي لتسوية التجارة يعد جزءًا من بروتوكول CoW Swap alpha (GPvXNUMX).
يبدو أن المهاجم خدع مالك عقد GPv2Settlement للموافقة على استخدام SwapGuard ، وهو أمر غير مسموح به عادةً.
وفقًا لـ PeckShield ، فإن SwapGuard هو عقد ثانٍ تستخدمه CoW Swap للمساعدة والتحقق من نتائج المبادلة. ربما تكون هذه الموافقة قد ساهمت في نجاح الهجوم ، لأن SwapGuard يسمح باستدعاءات دالة عشوائية. في سياق العقود الذكية ، تسمح استدعاءات الوظائف التعسفية لأي شخص لديه حق الوصول إلى العقد بتنفيذ أي وظيفة ضمن الكود الخاص به.
أخبر متحدث باسم BlockSec The Block أن هناك وظيفة في العقد SwapGuard يمكنها تحويل الأموال إلى أي عنوان. استدعى المهاجم الوظيفة العامة لنقل DAI إلى العنوان.
فريق مبادلة CoW محمد أن عقد التسوية الذي تم استغلاله له حق الوصول فقط إلى الرسوم التي تم تحصيلها بواسطة البروتوكول في غضون أسبوع وأن المخترق لم يتمكن من الوصول مباشرة إلى أموال المستخدم.
© 2023 The Block Crypto، Inc. جميع الحقوق محفوظة. يتم توفير هذه المقالة لأغراض إعلامية فقط. لا يُعرض أو يُقصد استخدامه كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack؟