Theo các công ty bảo mật PeckShield và BlockSec, nền tảng giao dịch phi tập trung CoW Swap đã trở thành nạn nhân trong một vụ hack lớn, hacker đã kiếm được hơn 180.000 USD.
Là một nền tảng giao dịch phi tập trung (DEX), mục tiêu của CoW Swap là cung cấp cho người dùng mức giá tốt nhất trên các sàn giao dịch phi tập trung. Tuy nhiên, một hacker đã nhắm mục tiêu hợp đồng thông minh thanh toán thương mại của nó, GPv2Settlement, để rút tiền.
PeckShield ước tính rằng kẻ tấn công đã rút DAI trị giá khoảng 180.000 USD từ CoW Swap trước khi chuyển tiền qua Tornado Cash để lấy 551 BNB. Cuộc tấn công nhắm vào GPv2Settlement, một hợp đồng thông minh thanh toán thương mại là một phần của giao thức CoW Swap alpha (GPv2).
Có vẻ như kẻ tấn công đã lừa chủ sở hữu hợp đồng GPv2Settlement chấp thuận việc sử dụng SwapGuard, điều thường không được phép. Theo PeckShield, SwapGuard là hợp đồng thứ hai được CoW Swap sử dụng để hỗ trợ và xác thực kết quả trao đổi. Sự chấp thuận này đã giúp ích cho cuộc tấn công, vì SwapGuard cho phép gọi hàm tùy ý. Trong ngữ cảnh của hợp đồng thông minh, các chức năng tùy ý cho phép bất kỳ ai có quyền truy cập vào hợp đồng để thực hiện bất kỳ chức năng nào trong mã của nó.
Người phát ngôn của BlockSec nói rằng có một chức năng trong hợp đồng SwapGuard có thể chuyển tiền đến bất kỳ địa chỉ nào. Kẻ tấn công đã gọi hàm công khai để chuyển DAI vào địa chỉ của chúng.
Nhóm CoW Swap cho biết hợp đồng thanh toán bị khai thác chỉ có quyền truy cập vào các khoản phí do giao thức thu trong một tuần và hacker không thể truy cập trực tiếp vào tiền của người dùng. Nhóm đã làm rõ rằng họ đã gặp phải một lỗ hổng bảo mật sau khi hacker khai thác tài khoản người giải quyết, tài khoản này sẽ tham gia cạnh tranh để cung cấp cho người dùng giá giao dịch tốt nhất.
CoW Swap khác với các sàn giao dịch phi tập trung (DEX) truyền thống vì nó không yêu cầu người dùng tự thực hiện giao dịch. Thay vào đó, người dùng ký một thỏa thuận thương mại để trao đổi hai token ở một mức giá cụ thể, sau đó được trao cho “người giải quyết” bên thứ ba. Người này có quyền truy cập vào hợp đồng giải quyết lưu trữ các khoản phí đã thu trong khoảng thời gian một tuần (trước khi được sử dụng để thưởng cho người giải quyết).
Để đối phó với vi phạm, Cow Swap đã ngay lập tức thu hồi tất cả các phê duyệt cho hợp đồng bị ảnh hưởng và nâng cấp lên hợp đồng mới mà không có chức năng mã thực thi tùy ý. Nhóm đã trấn an thêm người dùng rằng tiền của họ không bao giờ gặp rủi ro vì Cow Swap không giữ tiền của người dùng. Trái phiếu của người giải quyết sẽ thanh toán cho tất cả các thiệt hại phát sinh.
Liên quan: Cardano DEX sẽ bắt đầu hỗ trợ nhóm thanh khoản Djed Stablecoin
Coin6s tổng hợp