Il protocollo di finanza decentralizzata (DeFi) CoW Swap ha subito un exploit di contratto intelligente, che ha portato alla perdita di circa 551 BNB ($ 181.600).
Secondo i rapporti, l'attaccante ha aggiunto un indirizzo di portafoglio come "risolutore" di CoW Swap e ha invocato una transazione per approvare i trasferimenti DAI a SwapGuard prima di spostare le risorse su altri indirizzi.
Un exploit del contratto di transazione
Il geometra della blockchain MevRefund ha notato per la prima volta l'attacco nelle prime ore di oggi. Il ricercatore del valore massimo estraibile (MEV) ha twittato che i fondi di CoW Swap venivano spostati, aggiungendo che alla funzione SwapGuard del protocollo era stata concessa un'indennità e consentito a chiunque di effettuare "chiamate di funzione arbitrarie".
Nel giro di un'ora, la società di sicurezza blockchain PeckShield ha rivelato che il contratto GPv2Settlement di CoW Swap è stato ingannato dieci giorni fa, approvando SwapGuard per la spesa DAI.
Al momento dell'exploit, l'attaccante ha appena attivato SwapGuard per trasferire DAI fuori dal contratto GPv2Settlement.
In una spiegazione più dettagliata, la piattaforma di sicurezza blockchain BlockSec ha rivelato che l'attaccante aveva aggiunto un indirizzo di portafoglio come risolutore del protocollo dal multi-sig, quindi la possibilità di approvare le transazioni. Poiché il trasferimento DAI è stato approvato dal contratto di transazione, lo sfruttatore potrebbe anche approvare trasferimenti a indirizzi arbitrari.
“Una lezione appresa. Un contratto con l'interfaccia di chiamata arbitraria non dovrebbe avere alcuna indennità, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 ha commesso l'errore e ha approvato il valore massimo di DAI a SwapGuard, che è la causa principale dell'attacco ", ha affermato BlockSec.
Oltre $ 181k trasferiti a Tornado Cash
I token trasferiti all'indirizzo dello sfruttatore includono BNB, USDT, USDC ed ETH. Finora, circa 551 BNB per un valore di oltre $ 181.000 sono stati trasferiti al crypto mixer approvato dall'OFAC Tornado Cash.
CoW Swap ha esortato gli utenti a non preoccuparsi, poiché i fondi rubati erano le commissioni accumulate dal protocollo CoW della scorsa settimana. La piattaforma ha affermato che il problema è stato mitigato ed è attualmente oggetto di indagine.
CoW Protocol è l'ultima piattaforma DeFi a soffrire per mano di audaci hacker questo mese. CryptoPotato ha riferito la scorsa settimana che Orion Protocol e BonqDAO sono stati violati, portando rispettivamente alla perdita di $ 3 milioni e $ 10 milioni.
Il post DeFi Platform CoW Protocol perde oltre 550 BNB in Contract Exploit è apparso prima su CryptoPotato .