DeFi: Plataforma CoW Swap perdeu mais de 550 BNB em exploit de contrato
O invasor já transferiu parte dos fundos roubados para o misturador de criptomoedas Tornado Cash.
O protocolo de finanças descentralizadas (DeFi) CoW Swap sofreu uma exploração de contrato inteligente, levando à perda de aproximadamente 551 BNB (US$ 181.600).
Segundo relatos, o invasor adicionou um endereço de carteira como um “resolvedor” de CoW Swap e invocou uma transação para aprovar transferências DAI para SwapGuard antes de mover os ativos para outros endereços.
Exploração de contrato de liquidação
O pesquisador blockchain MevRefund notou o ataque nas primeiras horas de hoje. O buscador de valor extraível máximo (MEV) twittou que os fundos do CoW Swap estavam sendo movidos, acrescentando que o recurso SwapGuard do protocolo tinha autorização e permitia que qualquer pessoa fizesse “chamadas de função arbitrárias”.
A empresa de segurança blockchain PeckShield revelou que o contrato GPv2Settlement da CoW Swap foi enganado há dez dias, aprovando SwapGuard para gastos com DAI.
No momento da exploração, o invasor apenas acionou o SwapGuard para transferir a DAI do contrato GPv2Settlement.
Em uma explicação mais detalhada, a plataforma de segurança blockchain BlockSec revelou que o invasor adicionou um endereço de carteira como solucionador do protocolo pelo multi-sig, portanto, a capacidade de aprovar as transações. Como a transferência DAI foi aprovada no contrato de liquidação, o explorador também pode aprovar transferências para endereços arbitrários.
“Uma lição aprendida. Um contrato com a interface de chamada arbitrária não deve ter permissão, 0x55a37a2e5e5973510ac9d9c723aec213fa161919 cometeu o erro e aprovou o valor máximo de DAI para SwapGuard, que é a causa raiz do ataque”, disse BlockSec.
Mais de US$ 181 mil transferidos para Tornado Cash
Os tokens transferidos para o endereço do explorador incluem BNB, USDT, USDC e ETH. Até agora, cerca de 551 BNB no valor de mais de US$ 181.000 foram transferidos para o misturador de criptomoedas sancionado pela OFAC Tornado Cash.
O CoW Swap pediu aos usuários que não se preocupassem, pois os fundos roubados eram as taxas acumuladas do CoW Protocol na semana passada. A plataforma disse que o problema foi mitigado e está atualmente sob investigação.