据安全公司 PeckShield 和 BlockSec 称,去中心化交易聚合商 CoW Swap 遭受了一次重大黑客攻击,攻击者窃取了超过 180,000 美元的资金。
作为去中心化交易所(DEX)聚合商,CoW Swap 的目标是为用户提供跨去中心化交易所的最优价格。 然而,黑客以其贸易结算智能合约 GPv2Settlement 为目标,以耗尽资金。
PeckShield 估计,攻击者在通过 Tornado Cash 路由资金以获得 180,000 BNB 之前,从 CoW Swap 中抽取了价值约 551 美元的 DAI。 该攻击针对 GPv2Settlement,这是一种贸易结算智能合约,是 CoW Swap alpha (GPv2) 协议的一部分。
看起来攻击者欺骗了 GPv2Settlement 合约的所有者批准使用 SwapGuard,这通常是不允许的。
根据 PeckShield 的说法,SwapGuard 是 CoW Swap 用来协助和验证交换结果的第二份合约。 这种批准可能促成了攻击的成功,因为 SwapGuard 允许任意函数调用。 在智能合约的上下文中,任意函数调用允许任何有权访问合约的人在其代码中执行任何函数。
BlockSec 发言人告诉 The Block,合约 SwapGuard 中有一个功能可以将资金转移到任何地址。 攻击者调用公共函数将 DAI 转移到他们的 地址.
CoW Swap 团队 说过 被利用的结算合约只能访问协议在一周内收取的费用,黑客无法直接访问用户资金。
©2023 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss