CoW (coïncidence des désirs) Passerelle , la plate-forme financière décentralisée sur laquelle CoW Swap est construit, a souffert d'une attaque multisig sur son contrat intelligent de règlement.
La divulgation de la menace a été publiée pour la première fois par MevRefund, un chercheur en sécurité blockchain et pirate informatique.
@CoWSwap vos fonds semblent s'envoler...https://t.co/li1NkXNeUp
– MevRefund (@MevRefund) 7 février 2023
La société d'audit de sécurité Blockchain PeckShield a ensuite confirmé l'exploit, en publiant la divulgation sur Twitter.
Il semble (1) @CoWSwapLe contrat GPv2Settlement de a été trompé il y a 10 jours pour approuver SwapGuard pour les dépenses DAI et (2) SwapGuard vient d'être déclenché pour transférer DAI de GPv2Settlement. Voici les deux txs liés : https://t.co/Tb8Sk5xqMR ainsi que https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWizeOLzz
- PeckShield Inc. (@peckshield) 7 février 2023
Plus de détails sur l'exploit ont été expliqué par BlockSec, un cabinet d'audit de contrats intelligents. Selon BlockSec, l'adresse du portefeuille de l'acteur de la menace a été ajoutée en tant que "solveur" de CoW Swap via un multisig.
Un multisig est un type de mesure de crypto-sécurité dans laquelle la signature cryptographique de plusieurs parties est requise pour approuver une transaction. L'attaquant a ensuite utilisé cet accès pour déclencher le contrat intelligent de règlement et drainer 550 BNB dans Tornado Cash, un entonnoir d'anonymat crypto qui permet aux utilisateurs de masquer les transactions, ce qui rend plus difficile pour quiconque de les retracer.
L'adresse de l'acteur de la menace a ensuite invoqué la transaction afin d'approuver DAI envers SwapGuard, incitant SwapGuard à transférer DAI du contrat de règlement Swap de CoW vers un certain nombre d'adresses différentes.
Bien que CoW Swap n'ait pas encore publié de déclaration officielle à ce sujet, les développeurs du protocole affirment qu'ils travaillent déjà sur la vulnérabilité. Le protocole a également déclaré que le contrat de règlement de l'exploit ne peut accéder qu'aux frais qui ont été collectés par le protocole dans un délai d'une semaine, avec les fonds des utilisateurs sécurisés, étant donné que ceux-ci ne peuvent être signés que par le biais d'une commande exécutée par un utilisateur. L'équipe de CoW Swap a rassuré les utilisateurs sur le fait que leurs comptes ne seraient pas affectés par l'exploit, ajoutant qu'ils n'étaient pas tenus de révoquer les approbations précédentes.
Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb