Dioddefodd cydgrynwr cyfnewid datganoledig CoW Swap hac mawr, gyda’r ymosodwr yn ennill dros $180,000 mewn arian, yn ôl cwmnïau diogelwch PeckShield a BlockSec.
Fel cydgrynwr cyfnewid datganoledig (DEX), nod CoW Swap yw darparu'r prisiau gorau i ddefnyddwyr ar draws cyfnewidfeydd datganoledig. Fodd bynnag, targedodd haciwr ei gontract smart setliad masnach, GPv2Settlement, i ddraenio arian.
Amcangyfrifodd PeckShield fod yr ymosodwr wedi draenio gwerth tua $180,000 o DAI o CoW Swap cyn cyfeirio'r arian trwy Tornado Cash i gael 551 BNB. Targedodd yr ymosodiad y GPv2Settlement, contract smart setliad masnach sy'n rhan o brotocol CoW Swap alpha (GPv2).
Mae'n ymddangos bod yr ymosodwr wedi twyllo perchennog y contract GPv2Settlement i gymeradwyo'r defnydd o'r SwapGuard, na chaniateir fel arfer.
Yn ôl PeckShield, mae SwapGuard yn ail gontract a ddefnyddir gan CoW Swap i gynorthwyo a dilysu canlyniadau cyfnewid. Efallai bod y gymeradwyaeth hon wedi cyfrannu at lwyddiant yr ymosodiad, gan fod SwapGuard yn caniatáu galwadau swyddogaeth mympwyol. Yng nghyd-destun contractau smart, mae galwadau swyddogaeth mympwyol yn caniatáu i unrhyw un sydd â mynediad at y contract gyflawni unrhyw swyddogaeth o fewn ei god.
Dywedodd llefarydd ar ran BlockSec wrth The Block fod swyddogaeth yn y contract SwapGuard a all drosglwyddo arian i unrhyw gyfeiriad. Galwodd yr ymosodwr ar y swyddogaeth gyhoeddus i drosglwyddo'r DAI i'w Cyfeiriad.
Tîm Cyfnewid CoW Dywedodd mai dim ond mewn wythnos y mae'r contract setlo y manteisiwyd arno yn cael mynediad at y ffioedd a gasglwyd gan y protocol ac nad oedd yr haciwr yn gallu cael mynediad uniongyrchol i gronfeydd defnyddwyr.
© 2023 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss