CoW (coincidência de desejos) Protocolo , a plataforma financeira descentralizada sobre a qual o CoW Swap é construído, sofreu um ataque multisig em seu contrato inteligente de liquidação.
A divulgação da ameaça foi divulgada pela primeira vez por MevRefund, um pesquisador de segurança blockchain e hacker whitehat.
@CoWSwap seus fundos parecem estar indo embora...https://t.co/li1NkXNeUp
- MevRefund (@MevRefund) 7 de fevereiro de 2023
A empresa de auditoria de segurança Blockchain PeckShield posteriormente confirmou a exploração, divulgando a divulgação no Twitter.
Parece (1) @CoWSwapO contrato do GPv2Settlement foi enganado 10 dias atrás para aprovar o SwapGuard para gastos com DAI e (2) o SwapGuard acabou de ser acionado para transferir o DAI do GPv2Settlement. Aqui estão os dois txs relacionados: https://t.co/Tb8Sk5xqMR e https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) 7 de fevereiro de 2023
Mais detalhes sobre o exploit foram explicado por BlockSec, uma empresa de auditoria de contratos inteligentes. De acordo com a BlockSec, o endereço da carteira do agente da ameaça foi adicionado como um “resolvedor” do CoW Swap por meio de um multisig.
Um multisig é um tipo de medida de segurança criptográfica em que a assinatura criptográfica de mais de uma parte é necessária para aprovar uma transação. O invasor então usou esse acesso para acionar o contrato inteligente de liquidação e drenar 550 BNB para o Tornado Cash, um funil de anonimato criptográfico que permite aos usuários mascarar transações, tornando mais difícil para qualquer outra pessoa rastreá-las.
O endereço do ator da ameaça posteriormente invocou a transação para aprovar o DAI para o SwapGuard, solicitando que o SwapGuard transferisse o DAI do contrato de liquidação de Swap do CoW para vários endereços diferentes.
Embora o CoW Swap ainda não tenha divulgado uma declaração oficial sobre o assunto, os desenvolvedores do protocolo afirmam que já estão trabalhando na vulnerabilidade. O protocolo também diz que o contrato de liquidação do exploit só pode acessar as taxas que foram cobradas pelo protocolo no prazo de uma semana, com os fundos do usuário seguros, já que eles só podem ser assinados por meio de uma ordem executada por um usuário. A equipe da CoW Swap assegurou aos usuários que suas contas não seriam afetadas pela exploração, acrescentando que eles não eram obrigados a revogar nenhuma aprovação anterior.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb