تقنية

بروتوكول مبادلة CoW Exploit Protocol 550 BNB

02/07/2023
أخبار Bitcoin Ethereum

CoW (مصادفة الرغبات) بروتوكول ، منصة التمويل اللامركزية التي تم بناء CoW Swap عليها ، عانت من هجوم متعدد المهام على عقد التسوية الذكي.

تم إصدار الكشف عن التهديد لأول مرة من قبل MevRefund ، الباحث الأمني ​​في blockchain و Whitehat hacker.

صورة

وأكدت شركة PeckShield للتدقيق الأمني ​​في Blockchain فيما بعد حدوث هذا الاستغلال ، ونشرت الكشف على Twitter.

مزيد من التفاصيل في استغلال أوضحه BlockSec، شركة تدقيق العقود الذكية. وفقًا لـ BlockSec ، تمت إضافة عنوان محفظة الجهة الفاعلة في التهديد على أنه "حل" لمقايضة CoW عبر multisig.

يعد multisig نوعًا من إجراءات أمان التشفير حيث يلزم وجود أكثر من توقيع تشفير لطرف واحد للموافقة على معاملة. ثم استخدم المهاجم هذا الوصول لإطلاق العقد الذكي للتسوية واستنزاف 550 BNB في Tornado Cash ، وهو مسار تحويل مجهول الهوية يمكّن المستخدمين من إخفاء المعاملات ، مما يجعل من الصعب على أي شخص آخر تتبعها.

استدعى عنوان الجهة المسؤولة عن التهديد المعاملة لاحقًا من أجل الموافقة على DAI تجاه SwapGuard ، مما دفع SwapGuard إلى نقل DAI من عقد تسوية Swap الخاص بـ CoW إلى عدد من العناوين المختلفة.

في حين أن CoW Swap لم تصدر بعد بيانًا رسميًا بشأن هذه المسألة ، يزعم مطورو البروتوكول أنهم يعملون بالفعل على حل الثغرة الأمنية. ذكر البروتوكول أيضًا أن عقد التسوية الخاص بالثغرة لا يمكنه الوصول إلا إلى الرسوم التي تم تحصيلها بواسطة البروتوكول في غضون أسبوع ، مع تأمين أموال المستخدم ، نظرًا لأنه لا يمكن توقيعها إلا من خلال أمر ينفذه المستخدم. طمأن فريق CoW Swap المستخدمين إلى أن حساباتهم لن تتأثر بالاستغلال ، مضيفًا أنهم غير مطالبين بإلغاء أي موافقات مسبقة.

إخلاء المسؤولية: يتم توفير هذه المقالة لأغراض إعلامية فقط. لم يتم تقديمه أو الغرض منه استخدامه كنصائح قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.

المصدر: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb