Il protocollo CoW della piattaforma DeFi perde oltre 550 BNB nell'exploit del contratto

Il protocollo di finanza decentralizzata (DeFi) CoW Swap ha subito un exploit di contratto intelligente, che ha portato alla perdita di circa 551 BNB ($ 181,600).

Secondo i rapporti, l'attaccante ha aggiunto un indirizzo di portafoglio come "risolutore" di CoW Swap e ha invocato una transazione per approvare i trasferimenti DAI a SwapGuard prima di spostare le risorse su altri indirizzi.

Un exploit del contratto di transazione

Il geometra della blockchain MevRefund ha notato per la prima volta l'attacco nelle prime ore di oggi. Il ricercatore del valore massimo estraibile (MEV). tweeted che i fondi di CoW Swap venivano spostati, aggiungendo che alla funzione SwapGuard del protocollo era stata concessa un'indennità e consentiva a chiunque di effettuare "chiamate di funzione arbitrarie".

Entro un'ora, la società di sicurezza blockchain PeckShield rivelato che il contratto GPv2Settlement di CoW Swap è stato ingannato dieci giorni fa, approvando SwapGuard per la spesa DAI.

Al momento dell'exploit, l'attaccante ha appena attivato SwapGuard per trasferire DAI fuori dal contratto GPv2Settlement.

In una spiegazione più dettagliata, la piattaforma di sicurezza blockchain BlockSec ha rivelato che l'attaccante aveva aggiunto un indirizzo di portafoglio come risolutore del protocollo dal multi-sig, quindi la possibilità di approvare le transazioni. Poiché il trasferimento DAI è stato approvato dal contratto di transazione, lo sfruttatore potrebbe anche approvare trasferimenti a indirizzi arbitrari.

“Una lezione appresa. Un contratto con l'interfaccia di chiamata arbitraria non dovrebbe avere alcuna indennità, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 ha commesso l'errore e ha approvato il valore massimo di DAI a SwapGuard, che è la causa principale dell'attacco", BlockSec disse.

Oltre $ 181k trasferiti a Tornado Cash

I token trasferiti all'indirizzo dello sfruttatore includono BNB, USDT, USDC ed ETH. Finora, circa 551 BNB per un valore di oltre $ 181,000 sono stati trasferiti al crypto mixer approvato dall'OFAC Tornado Cash.

Scambio di mucche sollecitato gli utenti non si preoccupino, poiché i fondi rubati erano le commissioni accumulate dal Protocollo CoW nell'ultima settimana. La piattaforma ha affermato che il problema è stato mitigato ed è attualmente oggetto di indagine.

CoW Protocol è l'ultima piattaforma DeFi a soffrire per mano di audaci hacker questo mese. CryptoPotato ha riferito la scorsa settimana che Protocollo di Orione ed BonqDAO sono stati violati, portando alla perdita di $ 3 milioni e $ 10 milioni, rispettivamente.