CoW Swap Protocol Exploit Drains 550 BNB

CoW (ចៃដន្យនៃការចង់បាន) ពិធីការ ដែលជាវេទិកាហិរញ្ញវត្ថុវិមជ្ឈការដែល CoW Swap ត្រូវបានសាងសង់ បានរងការវាយប្រហារច្រើនដងលើកិច្ចសន្យាឆ្លាតវៃទូទាត់របស់ខ្លួន។

ការបង្ហាញការគំរាមកំហែងត្រូវបានចេញផ្សាយជាលើកដំបូងដោយ MevRefund ដែលជាអ្នកស្រាវជ្រាវសន្តិសុខ blockchain និង whitehat hacker ។

@CoWSwap មូលនិធិរបស់អ្នកហាក់ដូចជាកំពុងធ្លាក់ចុះឆ្ងាយ…https://t.co/li1NkXNeUp

- MevRefund (@MevRefund) ខែកុម្ភៈ 7, 2023

ក្រុមហ៊ុនសវនកម្មសន្តិសុខ Blockchain PeckShield ក្រោយមកបានបញ្ជាក់ពីការកេងប្រវ័ញ្ចនេះ ដោយផ្សព្វផ្សាយការបង្ហាញជាសាធារណៈនៅលើ Twitter ។

វាហាក់ដូចជា (1) @CoWSwapកិច្ចសន្យា GPv2Settlement របស់ GPv10 ត្រូវបានបោកបញ្ឆោតកាលពី 2 ថ្ងៃមុនដើម្បីអនុម័ត SwapGuard សម្រាប់ការចំណាយរបស់ DAI ហើយ (2) SwapGuard ទើបតែត្រូវបានជំរុញឱ្យផ្ទេរ DAI ចេញពី GPvXNUMXSettlement ។ នេះគឺជា txs ពីរដែលទាក់ទងគ្នា៖ https://t.co/Tb8Sk5xqMR និង https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz

- ក្រុមហ៊ុន PeckShield Inc (@peckshield) ខែកុម្ភៈ 7, 2023

ព័ត៌មានលម្អិតបន្ថែមលើការកេងប្រវ័ញ្ចគឺ ពន្យល់ដោយ BlockSecដែលជាក្រុមហ៊ុនសវនកម្មកិច្ចសន្យាឆ្លាតវៃ។ យោងតាម ​​BlockSec អាសយដ្ឋានកាបូបរបស់តួអង្គគំរាមកំហែងត្រូវបានបន្ថែមជា "អ្នកដោះស្រាយ" នៃ CoW Swap តាមរយៈ multisig ។

Multisig គឺជាប្រភេទនៃវិធានការសុវត្ថិភាពគ្រីបតូ ដែលតម្រូវឱ្យមានហត្ថលេខាគ្រីបរបស់ភាគីច្រើនជាងមួយ ដើម្បីអនុម័តប្រតិបត្តិការមួយ។ បន្ទាប់មកអ្នកវាយប្រហារបានប្រើការចូលប្រើនេះ ដើម្បីជំរុញកិច្ចព្រមព្រៀងឆ្លាតវៃទូទាត់ និងបង្ហូរ 550 BNB ទៅក្នុង Tornado Cash ដែលជាបណ្តាញសម្ងាត់សម្ងាត់ដែលអាចឱ្យអ្នកប្រើប្រាស់បិទបាំងប្រតិបត្តិការ ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកផ្សេងក្នុងការតាមដានពួកគេ។

អាសយដ្ឋានរបស់តួអង្គគំរាមកំហែងក្រោយមកបានហៅប្រតិបត្តិការនេះដើម្បីអនុម័ត DAI ឆ្ពោះទៅកាន់ SwapGuard ដោយជំរុញឱ្យ SwapGuard ផ្ទេរ DAI ពីកិច្ចសន្យាទូទាត់ Swap របស់ CoW ទៅអាសយដ្ឋានផ្សេងៗគ្នា។

ខណៈពេលដែល CoW Swap មិនទាន់បានចេញសេចក្តីថ្លែងការណ៍ផ្លូវការអំពីបញ្ហានេះ អ្នកបង្កើតពិធីការបានអះអាងថាពួកគេកំពុងធ្វើការលើភាពងាយរងគ្រោះរួចហើយ។ ពិធីការក៏បាននិយាយផងដែរថា កិច្ចសន្យាទូទាត់នៃការកេងប្រវ័ញ្ចអាចចូលប្រើបានតែថ្លៃសេវាដែលត្រូវបានប្រមូលដោយពិធីការក្នុងរយៈពេលមួយសប្តាហ៍ប៉ុណ្ណោះ ជាមួយនឹងមូលនិធិរបស់អ្នកប្រើប្រាស់ដែលមានសុវត្ថិភាព ដោយផ្តល់ឱ្យពីរបៀបដែលទាំងនេះអាចត្រូវបានចុះហត្ថលេខាតាមរយៈការបញ្ជាទិញដែលប្រតិបត្តិដោយអ្នកប្រើប្រាស់ប៉ុណ្ណោះ។ ក្រុមការងាររបស់ CoW Swap បានធានាអ្នកប្រើប្រាស់ឡើងវិញថាគណនីរបស់ពួកគេនឹងមិនរងផលប៉ះពាល់ពីការកេងប្រវ័ញ្ចនោះទេ ដោយបន្ថែមថាពួកគេមិនត្រូវបានគេតម្រូវឱ្យលុបចោលការយល់ព្រមពីមុនណាមួយឡើយ។

ការបដិសេធ: អត្ថបទនេះត្រូវបានផ្តល់ជូនសម្រាប់គោលបំណងផ្តល់ព័ត៌មានតែប៉ុណ្ណោះ។ វាមិនត្រូវបានផ្តល់ជូនឬមានបំណងប្រើជាច្បាប់ពន្ធការវិនិយោគហិរញ្ញវត្ថុឬដំបូន្មានផ្សេងទៀតទេ។