CoW Swap Protocol Exploit Drains 550 BNB

CoW (ບັງເອີນຂອງຄວາມປາຖະຫນາ) ອະນຸສັນຍາ , ແພລະຕະຟອມການເງິນທີ່ມີການແບ່ງຂັ້ນຄຸ້ມຄອງທີ່ CoW Swap ຖືກສ້າງຂຶ້ນ, ໄດ້ຮັບຄວາມເສຍຫາຍຈາກການໂຈມຕີ multisig ໃນສັນຍາສະຫມາດຂອງການຕັ້ງຖິ່ນຖານຂອງຕົນ.

ການເປີດເຜີຍໄພຂົ່ມຂູ່ໄດ້ຖືກເປີດເຜີຍຄັ້ງທໍາອິດໂດຍ MevRefund, ນັກຄົ້ນຄວ້າຄວາມປອດໄພ blockchain ແລະແຮກເກີ whitehat.

@CoWSwap ເງິນ​ທຶນ​ຂອງ​ທ່ານ​ເບິ່ງ​ຄື​ວ່າ​ຈະ​ໄປ​ໄດ້ ...https://t.co/li1NkXNeUp

— MevRefund (@MevRefund) ກຸມ​ພາ 7​, 2023

ບໍລິສັດກວດສອບຄວາມປອດໄພ Blockchain PeckShield ຕໍ່ມາໄດ້ຢືນຢັນການຂຸດຄົ້ນ, ເປີດເຜີຍການເປີດເຜີຍໃນ Twitter.

ເບິ່ງຄືວ່າ (1) @CoWSwapສັນຍາ GPv2Settlement ຂອງ GPv10 ໄດ້ຖືກຫລອກລວງ 2 ມື້ກ່ອນຫນ້ານີ້ເພື່ອອະນຸມັດ SwapGuard ສໍາລັບການໃຊ້ຈ່າຍ DAI ແລະ (2) SwapGuard ພຽງແຕ່ຖືກກະຕຸ້ນໃຫ້ໂອນ DAI ອອກຈາກ GPvXNUMXSettlement. ນີ້ແມ່ນ txs ທີ່ກ່ຽວຂ້ອງສອງອັນ: https://t.co/Tb8Sk5xqMR ແລະ https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz

- ບໍລິສັດ PeckShield Inc (@peckshield) ກຸມ​ພາ 7​, 2023

ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການຂຸດຄົ້ນແມ່ນ ອະທິບາຍໂດຍ BlockSec, ບໍລິສັດກວດສອບສັນຍາສະຫມາດ. ອີງຕາມ BlockSec, ທີ່ຢູ່ wallet ຂອງນັກສະແດງໄພຂົ່ມຂູ່ໄດ້ຖືກເພີ່ມເປັນ "ຕົວແກ້ໄຂ" ຂອງ CoW Swap ຜ່ານ multisig.

multisig ແມ່ນປະເພດຂອງມາດຕະການຄວາມປອດໄພ crypto ເຊິ່ງຈໍາເປັນຕ້ອງມີລາຍເຊັນເຂົ້າລະຫັດຂອງຝ່າຍໃດຫຼາຍກວ່າຫນຶ່ງເພື່ອອະນຸມັດການເຮັດທຸລະກໍາ. ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີໄດ້ໃຊ້ການເຂົ້າເຖິງນີ້ເພື່ອກະຕຸ້ນສັນຍາສະຫມາດຂອງການຕັ້ງຖິ່ນຖານແລະລະບາຍ 550 BNB ເຂົ້າໄປໃນ Tornado Cash, ຊ່ອງທາງການປິດບັງຕົວຕົນຂອງ crypto ທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ສາມາດປິດບັງການເຮັດທຸລະກໍາ, ເຮັດໃຫ້ມັນຍາກສໍາລັບຜູ້ອື່ນທີ່ຈະຕິດຕາມພວກເຂົາ.

ທີ່ຢູ່ຂອງນັກສະແດງໄພຂົ່ມຂູ່ຕໍ່ມາໄດ້ຮຽກຮ້ອງການເຮັດທຸລະກໍາເພື່ອອະນຸມັດ DAI ຕໍ່ SwapGuard, ກະຕຸ້ນໃຫ້ SwapGuard ໂອນ DAI ຈາກສັນຍາການຕັ້ງຖິ່ນຖານຂອງ CoW ກັບຈໍານວນທີ່ຢູ່ທີ່ແຕກຕ່າງກັນ.

ໃນຂະນະທີ່ CoW Swap ຍັງບໍ່ທັນໄດ້ອອກຖະແຫຼງການຢ່າງເປັນທາງການກ່ຽວກັບເລື່ອງນີ້, ຜູ້ພັດທະນາຂອງໂປໂຕຄອນອ້າງວ່າພວກເຂົາເຮັດວຽກກັບຈຸດອ່ອນແລ້ວ. ໂປໂຕຄອນຍັງກ່າວວ່າສັນຍາການຊໍາລະການຂູດຮີດສາມາດເຂົ້າເຖິງຄ່າທໍານຽມທີ່ເກັບໄດ້ໂດຍໂປໂຕຄອນພາຍໃນຫນຶ່ງອາທິດເທົ່ານັ້ນ, ດ້ວຍເງິນຂອງຜູ້ໃຊ້ທີ່ປອດໄພ, ໂດຍວິທີການເຫຼົ່ານີ້ສາມາດຖືກລົງນາມຜ່ານຄໍາສັ່ງປະຕິບັດໂດຍຜູ້ໃຊ້ເທົ່ານັ້ນ. ທີມງານຂອງ CoW Swap ຮັບປະກັນຜູ້ໃຊ້ວ່າບັນຊີຂອງເຂົາເຈົ້າຈະບໍ່ໄດ້ຮັບຜົນກະທົບຈາກການຂູດຮີດ, ເພີ່ມວ່າພວກເຂົາບໍ່ຈໍາເປັນຕ້ອງຖອນການອະນຸມັດກ່ອນຫນ້າໃດໆ.

ການປະຕິເສດ: ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.