탈중앙화 금융(DeFi) 프로토콜 CoW Swap은 스마트 계약 악용으로 인해 약 551 BNB($181,600)의 손실을 입었습니다.
보고서에 따르면 공격자는 지갑 주소를 CoW Swap의 "솔버"로 추가하고 자산을 다른 주소로 이동하기 전에 SwapGuard로의 DAI 전송을 승인하는 트랜잭션을 호출했습니다.
합의 계약 악용
블록체인 측량사 MevRefund는 오늘 이른 시간에 공격을 처음 발견했습니다. 추출 가능한 최대 값(MEV) 검색기 트위트 된 CoW Swap의 자금이 이동되고 있으며 프로토콜의 SwapGuard 기능이 허용되었으며 누구나 "임의의 함수 호출"을 할 수 있다고 덧붙였습니다.
XNUMX시간 만에 블록체인 보안업체 펙쉴드 공개 CoW Swap의 GPv2Settlement 계약은 DAI 지출에 대해 SwapGuard를 승인하면서 XNUMX일 전에 속았습니다.
악용 당시 공격자는 SwapGuard를 트리거하여 GPv2Settlement 계약에서 DAI를 전송했습니다.
블록체인 보안 플랫폼인 블록세크(BlockSec)는 공격자가 멀티시그 프로토콜의 솔버로 지갑 주소를 추가해 거래를 승인할 수 있는 능력을 추가했다고 설명했다. 정산 계약에서 DAI 전송이 승인되었으므로 착취자는 임의의 주소로의 전송도 승인할 수 있습니다.
“교훈을 얻었습니다. 임의 호출 인터페이스가 있는 컨트랙트는 여유가 없어야 하는데, 0x55a37a2e5e5973510ac9d9c723aec213fa161919가 실수를 해서 공격의 근본 원인인 SwapGuard에 DAI의 최대값을 승인했습니다.” 말했다.
$181 이상 토네이도 현금으로 이동
착취자의 주소로 전송된 토큰에는 BNB, USDT, USDC 및 ETH가 포함됩니다. 지금까지 $551 이상의 가치가 있는 약 181,000 BNB가 OFAC 승인 암호화 믹서인 Tornado Cash로 옮겨졌습니다.
CoW 스왑 촉구하는 도난당한 자금은 CoW Protocol의 지난주 누적 수수료였으니 걱정하지 않으셔도 됩니다. 플랫폼은 이 문제가 완화되었으며 현재 조사 중이라고 말했습니다.
CoW 프로토콜은 이번 달 대담한 해커의 손에 고통받는 최신 DeFi 플랫폼입니다. CryptoPotato는 지난주에 오리온 프로토콜 과 본큐다오 해킹당해 각각 3만 달러와 10만 달러의 손실을 입었다.
출처: https://cryptopotato.com/defi-platform-cow-protocol-loses-over-550-bnb-in-contract-exploit/