CoW(욕구의 일치) 프로토콜 CoW Swap이 구축된 분산형 금융 플랫폼인 , 결제 스마트 계약에 대한 다중서명 공격으로 어려움을 겪었습니다.
위협 공개는 블록체인 보안 연구원이자 화이트햇 해커인 MevRefund에 의해 처음 발표되었습니다.
@CoWSwap 귀하의 자금이 빠져나가는 것 같습니다 …https://t.co/li1NkXNeUp
— MevRefund(@MevRefund) 2023년 2월 7일
블록체인 보안 감사 회사인 PeckShield는 나중에 이 악용을 확인하고 트위터에 공개했습니다.
것 같다 (1) @CoWSwap의 GPv2Settlement 계약은 DAI 지출에 대한 SwapGuard를 승인하기 위해 10일 전에 속았으며 (2) SwapGuard는 GPv2Settlement에서 DAI를 전송하도록 트리거되었습니다. 다음은 관련된 두 tx입니다. https://t.co/Tb8Sk5xqMR 와 https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) 2023년 2월 7일
익스플로잇에 대한 자세한 내용은 BlockSec에 의해 설명됨, 스마트 계약 감사 회사. BlockSec에 따르면 위협 행위자의 지갑 주소는 다중 서명을 통해 CoW Swap의 "해결사"로 추가되었습니다.
다중 서명은 거래를 승인하기 위해 둘 이상의 당사자의 암호화 서명이 필요한 일종의 암호화 보안 조치입니다. 그런 다음 공격자는 이 액세스를 사용하여 결제 스마트 계약을 트리거하고 550 BNB를 Tornado Cash로 유출시켰습니다. Tornado Cash는 사용자가 거래를 숨길 수 있게 하여 다른 사람이 거래를 추적하기 어렵게 만드는 암호화 익명 퍼널입니다.
위협 행위자의 주소는 나중에 SwapGuard에 대한 DAI를 승인하기 위해 트랜잭션을 호출했고, SwapGuard는 DAI를 CoW의 Swap 결제 계약에서 여러 다른 주소로 전송하도록 유도했습니다.
CoW Swap은 아직 이 문제에 대한 공식 성명을 발표하지 않았지만 프로토콜 개발자는 이미 취약점에 대해 작업하고 있다고 주장합니다. 프로토콜은 또한 익스플로잇의 결제 계약은 사용자가 실행한 주문을 통해서만 서명할 수 있다는 점을 고려할 때 사용자 자금이 안전한 상태에서 일주일 이내에 프로토콜에 의해 수집된 수수료에만 액세스할 수 있다고 말했습니다. CoW Swap 팀은 이전 승인을 취소할 필요가 없다고 덧붙이며 계정이 익스플로잇의 영향을 받지 않을 것이라고 사용자를 안심시켰습니다.
면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다.
출처: https://cryptdaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb