CoW Swap, agregador de DEX, é vítima de hack de US$ 180,000

O agregador de câmbio descentralizado CoW Swap sofreu um grande hack, com o invasor fugindo com mais de US$ 180,000 em fundos, de acordo com as empresas de segurança PeckShield e BlockSec.

Como agregador de troca descentralizada (DEX), o objetivo da CoW Swap é fornecer aos usuários os melhores preços em trocas descentralizadas. No entanto, um hacker mirou em seu contrato inteligente de liquidação comercial, GPv2Settlement, para drenar fundos.

A PeckShield estimou que o invasor drenou cerca de US$ 180,000 em DAI do CoW Swap antes de encaminhar os fundos através do Tornado Cash para obter 551 BNB. O ataque teve como alvo o GPv2Settlement, um contrato inteligente de liquidação comercial que faz parte do protocolo CoW Swap alpha (GPv2).

Parece que o invasor enganou o proprietário do contrato GPv2Settlement para aprovar o uso do SwapGuard, que normalmente não é permitido.

De acordo com a PeckShield, o SwapGuard é um segundo contrato usado pelo CoW Swap para auxiliar e validar os resultados do swap. Essa aprovação pode ter contribuído para o sucesso do ataque, pois o SwapGuard permite chamadas de função arbitrárias. No contexto de contratos inteligentes, as chamadas de função arbitrárias permitem que qualquer pessoa com acesso ao contrato execute qualquer função dentro de seu código.  

Um porta-voz da BlockSec disse ao The Block que existe uma função no contrato SwapGuard que pode transferir dinheiro para qualquer endereço. O invasor invocou a função pública para transferir o DAI para seu endereço.

A equipe CoW Swap dito que o contrato de liquidação que foi explorado só tem acesso às taxas cobradas pelo protocolo em uma semana e que o hacker não conseguiu acessar diretamente os fundos do usuário.

© 2023 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.