DeFi Platformu CoW Protokolü, Sözleşme İstismarı Nedeniyle 550 BNB'den Fazla Kaybetti

Merkezi olmayan finans (DeFi) protokolü CoW Swap, akıllı sözleşme istismarına uğradı ve yaklaşık 551 BNB (181,600 $) kaybına yol açtı.

Raporlara göre saldırgan, CoW Swap'in "çözücüsü" olarak bir cüzdan adresi ekledi ve varlıkları başka adreslere taşımadan önce DAI'nin SwapGuard'a transferini onaylamak için bir işlem başlattı.

Uzlaşma Sözleşmesi Suiistimali

Blockchain araştırmacısı MevRefund, saldırıyı ilk olarak bugünün erken saatlerinde fark etti. Maksimum çıkarılabilir değer (MEV) arayıcısı tweeted CoW Swap'ın fonlarının taşındığını, protokolün SwapGuard özelliğine izin verildiğini ve herkesin "keyfi işlev çağrıları" yapmasına izin verdiğini ekledi.

Bir saat içinde blockchain güvenlik şirketi PeckShield ortaya CoW Swap'in GPv2Settlement sözleşmesi on gün önce kandırılarak DAI harcamaları için SwapGuard'ı onayladı.

Açıktan yararlanma anında saldırgan, DAI'yi GPv2Settlement sözleşmesinin dışına aktarmak için SwapGuard'ı tetikledi.

Daha detaylı bir açıklamada, blockchain güvenlik platformu BlockSec, saldırganın çoklu imza aracılığıyla protokolün çözücüsü olarak bir cüzdan adresi eklediğini, dolayısıyla işlemleri onaylama yeteneği kazandığını açıkladı. DAI aktarımı uzlaşma sözleşmesinden onaylandığından, istismarcı keyfi adreslere yapılan aktarımları da onaylayabilir.

“Öğrenilen bir ders. Keyfi çağrı arayüzüne sahip bir sözleşmenin herhangi bir ödeneği olmamalıdır, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 hata yaptı ve saldırının temel nedeni olan SwapGuard'a DAI'nin maksimum değerini onayladı," BlockSec şuraya.

181 bin dolardan fazlası Tornado Cash'e taşındı

İstismarcının adresine aktarılan tokenlar arasında BNB, USDT, USDC ve ETH yer alıyor. Şimdiye kadar değeri 551 doların üzerinde olan yaklaşık 181,000 BNB, OFAC onaylı kripto karıştırıcı Tornado Cash'e taşındı.

İnek Takası çağırdı Çalınan fonlar CoW Protokolü'nün geçen haftaya ait birikmiş ücretleri olduğundan kullanıcıların endişelenmesine gerek yok. Platform, sorunun hafifletildiğini ve şu anda araştırıldığını söyledi.

CoW Protokolü, bu ay cesur bilgisayar korsanlarının elinde zarar gören en son DeFi platformudur. CryptoPotato geçen hafta şunları bildirdi: Avcı Protokolü ve BonqDAO hacklendi ve sırasıyla 3 milyon dolar ve 10 milyon dolar kayba yol açtı.