DEX агрегатор CoW Swap нь 180,000 долларын хакердалтын хохирогч болжээ

Төвлөрсөн бус солилцооны агрегатор CoW Swap томоохон хакерд өртсөн бөгөөд халдагч этгээд 180,000 гаруй долларын хөрөнгөтэй болсон гэж PeckShield болон BlockSec аюулгүй байдлын фирмүүд мэдээлэв.

Төвлөрсөн бус бирж (DEX) агрегаторын хувьд CoW Swap-ийн зорилго нь төвлөрсөн бус бирж дээр хэрэглэгчдэд хамгийн сайн үнийг өгөх явдал юм. Гэсэн хэдий ч хакерууд мөнгөө урсгах зорилгоор GPv2Settlement хэмээх ухаалаг гэрээ байгуулсан байна.

PeckShield-ийн тооцоолсноор халдлага үйлдэгч 180,000 BNB авахын тулд Tornado Cash-аар дамжуулан хөрөнгөө шилжүүлэхээс өмнө CoW Swap-аас ойролцоогоор 551 долларын DAI-г шавхсан байна. Энэхүү халдлага нь CoW Swap alpha (GPv2) протоколын нэг хэсэг болох худалдааны төлбөр тооцооны ухаалаг гэрээ болох GPv2Settlement-ийг онилсон.

Халдагчид GPv2Settlement гэрээний эзэмшигчийг хууран мэхэлж, SwapGuard-г ашиглахыг зөвшөөрсөн бололтой, үүнийг ихэвчлэн зөвшөөрдөггүй.

PeckShield-ийн мэдээлснээр, SwapGuard нь свопын үр дүнг баталгаажуулахад туслах, CoW Swap-аас ашигладаг хоёр дахь гэрээ юм. SwapGuard нь дурын функцийн дуудлага хийхийг зөвшөөрдөг тул энэхүү зөвшөөрөл нь халдлагыг амжилттай хийхэд нөлөөлсөн байж магадгүй юм. Ухаалаг гэрээний хүрээнд дурын функцийн дуудлага нь гэрээнд нэвтрэх эрхтэй хэн бүхэнд өөрийн кодын хүрээнд ямар нэгэн функцийг гүйцэтгэх боломжийг олгодог.  

BlockSec-ийн төлөөлөгч The Block-д SwapGuard гэрээнд ямар ч хаяг руу мөнгө шилжүүлэх функц байгаа гэж мэдэгдэв. Халдлага үйлдэгч DAI-г тэдний рүү шилжүүлэхийн тулд олон нийтийн функцийг ашигласан хаяг.

Үнээ солих баг гэж хэлсэн ашигласан төлбөр тооцооны гэрээ нь зөвхөн долоо хоногийн дотор протоколоор цуглуулсан хураамжид хандах эрхтэй бөгөөд хакер хэрэглэгчийн санд шууд нэвтэрч чадаагүй.

© 2023 The Block Crypto, Inc. Бүх эрх хуулиар хамгаалагдсан. Энэхүү нийтлэлийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Үүнийг хууль, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглахыг зөвлөдөггүй.