CoW (مصادفة الرغبات) بروتوكول ، منصة التمويل اللامركزية التي تم بناء CoW Swap عليها ، عانت من هجوم متعدد المهام على عقد التسوية الذكي.
تم إصدار الكشف عن التهديد لأول مرة من قبل MevRefund ، الباحث الأمني في blockchain و Whitehat hacker.
تضمين التغريدة يبدو أن أموالك تتجه بعيدًا ...https://t.co/li1NkXNeUp
- MevRefund (MevRefund) 7 فبراير 2023
وأكدت شركة PeckShield للتدقيق الأمني في Blockchain فيما بعد حدوث هذا الاستغلال ، ونشرت الكشف على Twitter.
يبدو (1) تضمين التغريدةتم خداع عقد GPv2Settlement منذ 10 أيام للموافقة على SwapGuard لإنفاق DAI و (2) تم تشغيل SwapGuard لنقل DAI من GPv2Settlement. إليك نصي النص المرتبطين: https://t.co/Tb8Sk5xqMR و https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (peckshield) 7 فبراير 2023
مزيد من التفاصيل في استغلال أوضحه BlockSec، شركة تدقيق العقود الذكية. وفقًا لـ BlockSec ، تمت إضافة عنوان محفظة الجهة الفاعلة في التهديد على أنه "حل" لمقايضة CoW عبر multisig.
يعد multisig نوعًا من إجراءات أمان التشفير حيث يلزم وجود أكثر من توقيع تشفير لطرف واحد للموافقة على معاملة. ثم استخدم المهاجم هذا الوصول لإطلاق العقد الذكي للتسوية واستنزاف 550 BNB في Tornado Cash ، وهو مسار تحويل مجهول الهوية يمكّن المستخدمين من إخفاء المعاملات ، مما يجعل من الصعب على أي شخص آخر تتبعها.
استدعى عنوان الجهة المسؤولة عن التهديد المعاملة لاحقًا من أجل الموافقة على DAI تجاه SwapGuard ، مما دفع SwapGuard إلى نقل DAI من عقد تسوية Swap الخاص بـ CoW إلى عدد من العناوين المختلفة.
في حين أن CoW Swap لم تصدر بعد بيانًا رسميًا بشأن هذه المسألة ، يزعم مطورو البروتوكول أنهم يعملون بالفعل على حل الثغرة الأمنية. ذكر البروتوكول أيضًا أن عقد التسوية الخاص بالثغرة لا يمكنه الوصول إلا إلى الرسوم التي تم تحصيلها بواسطة البروتوكول في غضون أسبوع ، مع تأمين أموال المستخدم ، نظرًا لأنه لا يمكن توقيعها إلا من خلال أمر ينفذه المستخدم. طمأن فريق CoW Swap المستخدمين إلى أن حساباتهم لن تتأثر بالاستغلال ، مضيفًا أنهم غير مطالبين بإلغاء أي موافقات مسبقة.
إخلاء المسؤولية: يتم توفير هذه المقالة لأغراض إعلامية فقط. لم يتم تقديمه أو الغرض منه استخدامه كنصائح قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb