CoW(需求的巧合) 协议 ,建立了 CoW Swap 的去中心化金融平台,其结算智能合约遭受了多重签名攻击。
此次威胁披露最先由区块链安全研究员兼白帽黑客 MevRefund 发布。
@CoWSwap 您的资金似乎正在流失……https://t.co/li1NkXNeUp
——MevRefund (@MevRefund) 2023 年 2 月 7 日
区块链安全审计公司 PeckShield 后来证实了这一漏洞,并在 Twitter 上公布了这一披露。
好像(一) @CoWSwap的 GPv2Settlement 合约在 10 天前被欺骗以批准 SwapGuard 用于 DAI 支出,并且(2)SwapGuard 刚刚被触发以从 GPv2Settlement 中转出 DAI。 这是两个相关的 tx: https://t.co/Tb8Sk5xqMR 和 https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc.(@peckshield) 2023 年 2 月 7 日
该漏洞利用的更多细节是 BlockSec 解释,一家智能合约审计公司。 根据 BlockSec 的说法,威胁参与者的钱包地址是通过多重签名添加为 CoW Swap 的“求解器”。
多重签名是一种加密安全措施,其中需要多方的加密签名才能批准交易。 然后,攻击者使用此访问权限触发结算智能合约,并将 550 BNB 注入 Tornado Cash,这是一个加密匿名漏斗,使用户能够掩盖交易,使其他任何人都更难追踪它们。
威胁参与者的地址后来调用了交易,以批准 DAI 进入 SwapGuard,促使 SwapGuard 将 DAI 从 CoW 的 Swap 结算合约转移到多个不同的地址。
虽然 CoW Swap 尚未就此事发布官方声明,但该协议的开发人员声称他们已经在努力解决该漏洞。 该协议还表示,漏洞利用的结算合约只能访问协议在一周内收取的费用,用户资金是安全的,因为这些费用只能通过用户执行的订单进行签署。 CoW Swap 的团队向用户保证,他们的账户不会受到该漏洞的影响,并补充说他们不需要撤销任何先前的批准。
免责声明:本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
来源:https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb