O protocolo de troca descentralizada (DEX) CoW Swap confirmou que foi explorado por US$ 166.000 por um hacker que drenou um contrato de liquidação contendo suas taxas de protocolo.
Enquanto isso, a empresa analítica de blockchain Nansen relatado que o explorador roubou cerca de $ 180.000 – os fundos foram consolidados em duas carteiras contendo pelo menos $ 123.000 DAI$ 50.000 BNB e $ 7.400 ETH.
A exploração foi a primeira identificado pelo pesquisador blockchain MevRefund.
Exploração de detalhes de troca de CoW
A troca descentralizada disse uma parte externa que teve acesso ao seu contrato de liquidação havia aprovado um “contrato ruim” há 10 dias.
O hacker explorou essa aprovação porque o contrato ruim permitia que qualquer pessoa transferisse do contrato de liquidação.
Empresa de segurança Blockchain PeckShield corroborado A explicação de CoW Swap. O contrato DEX GPv2Settlement foi enganado há dez dias para aprovar o SwapGuard para gastos com DAI, de acordo com a empresa.
Posteriormente, o explorador acionou o SwapGuard para transferir o DAI do contrato GPv2Settlement. Através deste compromisso, qualquer um poderia emitir uma decisão arbitrária sobre o contrato.
CoW Swap disse que não sofreu perdas
Apesar da exploração de $ 166.000, a CoW Swap disse que não está sofrendo nenhuma perda, pois a fiança de seu solucionador pagará por todos os danos.
“Os danos potenciais são limitados à receita semanal do protocolo + são protegidos pelos pools de bonding do solucionador.”
O DEX acrescentou que nenhum dos fundos de seus usuários foi afetado porque não detém seus fundos.
O protocolo dizia que todas as aprovações para o mau contrato foram revogadas, acrescentando que nenhuma outra ação maliciosa era possível.
Os usuários não precisam revogar aprovações porque o hacker “não pode acessar os fundos do usuário diretamente sem fornecer um pedido assinado pelo usuário e dar a eles pelo menos o valor de compra limitada em troca”, acrescentou CoW Swap.
