Үхэр (Хүслийн давхцал) Протокол , CoW Swap-ийг барьсан төвлөрсөн бус санхүүгийн платформ нь төлбөр тооцооны ухаалаг гэрээндээ multisig халдлагад өртсөн.
Энэхүү аюулын ил тод байдлыг блокчейн аюулгүй байдлын судлаач, whitehat хакер MevRefund анх гаргажээ.
@CoWSwap Таны хөрөнгө урсч байх шиг байна ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Хоёрдугаар сарын 7, 2023
Блокчейн аюулгүй байдлын аудитын PeckShield компани хожим нь энэхүү мөлжлөгийг баталж, Твиттер хуудсандаа ил болгосон.
Энэ нь (1) бололтой @CoWSwap-ийн GPv2Settlement гэрээг 10 хоногийн өмнө SwapGuard-г DAI зарцуулалтыг зөвшөөрөхийн тулд хууран мэхэлсэн ба (2) SwapGuard-г GPv2Settlement-ээс DAI шилжүүлэхээр дөнгөж сая идэвхжүүлсэн. Энд холбогдох хоёр tx байна: https://t.co/Tb8Sk5xqMR болон https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Хоёрдугаар сарын 7, 2023
мөлжлөгийн талаар дэлгэрэнгүй мэдээлэл байсан BlockSec тайлбарлав, ухаалаг гэрээний аудитын компани. BlockSec-ийн мэдээлснээр аюул заналхийлсэн жүжигчний түрийвчний хаягийг multisig-ээр дамжуулан CoW Swap-ийн "шийдвэрлэгч" болгон нэмсэн.
Multisig нь гүйлгээг батлахын тулд нэгээс олон талын криптограф гарын үсэг шаардлагатай крипто-аюулгүй байдлын арга хэмжээний нэг төрөл юм. Дараа нь халдагч энэхүү хандалтыг ашиглан төлбөр тооцооны ухаалаг гэрээг эхлүүлж, 550 BNB-ийг Tornado Cash руу урсгасан бөгөөд энэ нь хэрэглэгчдэд гүйлгээг далдлах боломжийг олгодог крипто нэрээ нууцлах юүлүүр бөгөөд өөр хэн нэгэнд гүйлгээг мөрдөхөд хэцүү болгожээ.
Хожим нь заналхийлсэн жүжигчний хаяг нь SwapGuard руу DAI-г зөвшөөрөхийн тулд гүйлгээг эхлүүлсэн нь SwapGuard-г CoW-ийн Swap төлбөр тооцооны гэрээнээс DAI-г хэд хэдэн өөр хаяг руу шилжүүлэхэд хүргэсэн.
CoW Swap энэ талаар албан ёсны мэдэгдэл хараахан гаргаагүй байгаа ч протоколын хөгжүүлэгчид аль хэдийн эмзэг байдалд ажиллаж байгаа гэж мэдэгджээ. Протоколд мөн мөлжлөгийг барагдуулах гэрээ нь зөвхөн хэрэглэгчийн гүйцэтгэсэн захиалгаар гарын үсэг зурж болох тул хэрэглэгчийн хөрөнгийг найдвартай хамгаалж, зөвхөн долоо хоногийн дотор протоколоор цуглуулсан хураамжид хандах боломжтой гэжээ. CoW Swap-ийн багийнхан хэрэглэгчдэд өөрсдийнхөө данс энэ мөлжлөгт өртөхгүй байх болно гэж итгүүлж, өмнөх зөвшөөрлөө цуцлах шаардлагагүй гэж нэмж хэлэв.
Анхааруулга: Энэ нийтлэлийг зөвхөн мэдээллийн зорилгоор оруулсан болно. Энэ нь хууль эрх зүй, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглагдаагүй эсвэл ашиглахыг зорьсонгүй.
Эх сурвалж: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb