CoW (Cyd-ddigwyddiad o Ddymuniadau) Protocol , y llwyfan cyllid datganoledig y mae CoW Swap wedi'i adeiladu drosto, wedi dioddef o ymosodiad multisig ar ei gontract smart setliad.
Rhyddhawyd y datgeliad bygythiad gyntaf gan MevRefund, ymchwilydd diogelwch blockchain a haciwr whitehat.
@CoWSwap mae'n ymddangos bod eich arian yn symud i ffwrdd ...https://t.co/li1NkXNeUp
— MevRefund (@MevRefund) Chwefror 7, 2023
Cadarnhaodd PeckShield, cwmni archwilio diogelwch Blockchain, y camfanteisio yn ddiweddarach, gan roi cyhoeddusrwydd i'r datgeliad ar Twitter.
Mae'n ymddangos (1) @CoWSwapMae contract GPv2Settlement wedi cael ei dwyllo 10 diwrnod yn ôl i gymeradwyo SwapGuard ar gyfer gwariant DAI a (2) Sbardunwyd SwapGuard i drosglwyddo DAI allan o GPv2Settlement. Dyma'r ddau txs cysylltiedig: https://t.co/Tb8Sk5xqMR ac https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- PeckShield Inc. (@peckshield) Chwefror 7, 2023
Roedd manylion pellach am y camfanteisio yn eglurwyd gan BlockSec, cwmni archwilio contract smart. Yn ôl BlockSec, ychwanegwyd cyfeiriad waled yr actor bygythiad fel “datryswr” o CoW Swap trwy multisig.
Math o fesur cripto-ddiogelwch yw multisig lle mae angen llofnod cryptograffig mwy nag un parti i gymeradwyo trafodiad. Yna defnyddiodd yr ymosodwr y mynediad hwn i sbarduno'r cytundeb smart setliad a draenio 550 BNB i mewn i Tornado Cash, twndis anhysbysrwydd crypto sy'n galluogi defnyddwyr i guddio trafodion, gan ei gwneud hi'n anoddach i unrhyw un arall eu holrhain.
Yn ddiweddarach, galwodd cyfeiriad yr actor bygythiad y trafodiad er mwyn cymeradwyo DAI tuag at SwapGuard, gan annog SwapGuard i drosglwyddo DAI o gontract setliad Swap CoW i nifer o wahanol gyfeiriadau.
Er nad yw CoW Swap wedi rhyddhau datganiad swyddogol ar y mater eto, mae datblygwyr y protocol yn honni eu bod eisoes yn gweithio i'r bregusrwydd. Dywedodd y protocol hefyd mai dim ond o fewn wythnos o amser y gall contract setlo'r camfanteisio gael mynediad at y ffioedd a gasglwyd gan y protocol, gyda chronfeydd defnyddwyr yn ddiogel, o ystyried mai dim ond trwy orchymyn a weithredir gan ddefnyddiwr y gellir llofnodi'r rhain. Sicrhaodd tîm CoW Swap y defnyddwyr na fyddai eu cyfrifon yn cael eu heffeithio gan y camfanteisio, gan ychwanegu nad oedd yn ofynnol iddynt ddirymu unrhyw gymeradwyaeth flaenorol.
Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb