L'agrégateur d'échange décentralisé CoW Swap a subi un piratage majeur, l'attaquant s'enfuyant avec plus de 180,000 XNUMX $ de fonds, selon les sociétés de sécurité PeckShield et BlockSec.
En tant qu'agrégateur d'échanges décentralisés (DEX), l'objectif de CoW Swap est de fournir aux utilisateurs les meilleurs prix sur les échanges décentralisés. Cependant, un pirate informatique a ciblé son contrat intelligent de règlement commercial, GPv2Settlement, pour drainer des fonds.
PeckShield a estimé que l'attaquant avait drainé environ 180,000 551 $ de DAI de CoW Swap avant d'acheminer les fonds via Tornado Cash pour obtenir 2 BNB. L'attaque visait le GPv2Settlement, un contrat intelligent de règlement commercial qui fait partie du protocole CoW Swap alpha (GPvXNUMX).
Il semble que l'attaquant ait trompé le propriétaire du contrat GPv2Settlement pour qu'il approuve l'utilisation de SwapGuard, ce qui n'est normalement pas autorisé.
Selon PeckShield, SwapGuard est un deuxième contrat utilisé par CoW Swap pour assister et valider les résultats du swap. Cette approbation peut avoir contribué au succès de l'attaque, car SwapGuard autorise des appels de fonction arbitraires. Dans le contexte des contrats intelligents, les appels de fonction arbitraires permettent à toute personne ayant accès au contrat d'exécuter n'importe quelle fonction dans son code.
Un porte-parole de BlockSec a déclaré à The Block qu'il existe une fonction dans le contrat SwapGuard qui peut transférer de l'argent à n'importe quelle adresse. L'attaquant a invoqué la fonction publique pour transférer le DAI dans son propos.
L'équipe CoW Swap a affirmé Valérie Plante. que le contrat de règlement qui a été exploité n'a accès qu'aux frais collectés par le protocole en une semaine et que le pirate n'a pas pu accéder directement aux fonds des utilisateurs.
© 2023 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss