DEX 애그리게이터 CoW Swap, $180,000 해킹 피해

보안 회사인 PeckShield와 BlockSec에 따르면 탈중앙화 거래소 애그리게이터인 CoW Swap이 해킹을 당해 공격자가 $180,000 이상의 자금을 빼돌렸습니다.

탈중앙화 거래소(DEX) 애그리게이터로서 CoW Swap의 목표는 탈중앙화 거래소에서 사용자에게 최고의 가격을 제공하는 것입니다. 그러나 해커는 거래 결제 스마트 계약인 GPv2Settlement를 대상으로 자금을 유출했습니다.

PeckShield는 공격자가 180,000 BNB를 얻기 위해 Tornado Cash를 통해 자금을 라우팅하기 전에 CoW Swap에서 약 $551 상당의 DAI를 빼낸 것으로 추정했습니다. 이 공격은 GPv2(CoW Swap alpha) 프로토콜의 일부인 무역 결제 스마트 계약인 GPv2Settlement를 대상으로 했습니다.

공격자는 일반적으로 허용되지 않는 SwapGuard의 사용을 승인하도록 GPv2Settlement 계약의 소유자를 속인 것으로 보입니다.

PeckShield에 따르면 SwapGuard는 CoW Swap에서 스왑 결과를 지원하고 검증하는 데 사용하는 두 번째 계약입니다. 이 승인은 SwapGuard가 임의의 함수 호출을 허용하므로 공격의 성공에 기여했을 수 있습니다. 스마트 계약의 맥락에서 임의의 함수 호출을 통해 계약에 액세스할 수 있는 모든 사람이 해당 코드 내에서 모든 기능을 실행할 수 있습니다.  

BlockSec 대변인은 The Block에 SwapGuard 계약에 모든 주소로 돈을 송금할 수 있는 기능이 있다고 말했습니다. 공격자는 공개 기능을 호출하여 DAI를 자신의 서버로 전송했습니다. 주소.

CoW 스왑 팀 말했다 악용된 결제 계약은 일주일 동안 프로토콜에 의해 수집된 수수료에만 접근할 수 있으며 해커는 사용자 자금에 직접 접근할 수 없었습니다.

© 2023 The Block Crypto, Inc. 모든 권리 보유. 이 기사는 정보 제공의 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 사용되거나 제공되지 않습니다.