CowSwap hackeado y detalles notables – Cryptoshitcompra

Esta mañana (7 de febrero), una brecha de seguridad indujo a que Cowswap fuera pirateado. Los daños estimados oscilaron entre $ 200,000.

cryptoshitcompra.com/wp-content/uploads/2023/02/CowSwap-hackeado-y-detalles-notables-–-Cryptoshitcompra.png» alt=»CowSwap pirateado y detalles notables» width=»1200″ height=»627″/>

El organismo de control del código BlockSec ha publicado una línea permanente que describe la vulnerabilidad que provocó el ataque de CowSwap.

one/ Parece que 0x55a37a2e5e5973510ac9d9c723aec213fa161919 ha sido extra como el «solucionador» de @CoWSwap del multisig en este tx: https://t.co/7jXhh2vBKh

Luego, 0x55a invoca el tx para aprobar DAI para SwapGuardhttps://t.co/VjlfXHn5GF pic.twitter.com/bHLvWnsckn

– BlockSec (@BlockSecTeam) 7 de febrero de 2023

“La dirección de la billetera del atacante ha sido agregada a la lista de “solucionador” de CowSwap por el administrador de la billetera multisig. La billetera del atacante luego adoptó el contrato SwapGuard para minar DAI.

En concreto, Solver es un tercer encuentro, que se interpone en el camino de vincular las transacciones de compra y venta en la plataforma CowSwap. Este curso de acción requiere que el área fuera de la cadena se mantenga alejada de los precios sin sentido para los usuarios finales. Sin embargo, en su serie de tweets analíticos, la cuenta smartcontracts.eth explicó que esto resultó ser un cuello de botella para el diseño de los productos.

Esto es factible ya que los solucionadores pueden hacer elementos arbitrarios como parte de la liquidación de un lote de pedidos. Suena un poco loco para mí, pero quién sabe, no diseñé CowSwap. pic.twitter.com/uqpgYcW6Bu

— contratos inteligentes.eth (✨🔴_🔴✨) (@kelvinfichter) 7 de febrero de 2023

“Esto es factible ya que el solucionador puede realizar operaciones independientes, como empaquetar numerosas órdenes de transacción diferentes. Suena muy loco, pero quién sabe, no soy el diseñador de CowSwap”.

Como resultado, la mayoría de las evaluaciones en este momento sugieren que la vulnerabilidad radica en el hecho de que el contrato SwapGuard otorga permiso «ilimitado» a muchos tipos diferentes de tokens, lo que permite a un atacante violar y retirar dinero del contrato GPv2Settlement.

Pico de alerta #Shield @CoWSwap el explotador transfirió ~551 billones de dolares ($181.6k) a Tornado Cash pic.twitter.com/WebbstD6Xd

— PeckShieldAlert (@PeckShieldAlert) 7 de febrero de 2023

El atacante ahora ha transferido 551 BNB a Tornado Cash para limpiar las pistas. Este volumen corresponde a una reducción de $181.000.

En el momento de la creación, CowSwap no ha publicado ningún detalle completo sobre el problema. En cambio, la empresa solo indicó que la vulnerabilidad estaba relacionada con el contrato que administra los cargos de transacción cobrados por los productos. Este acuerdo no afecta sus activos.

¡Los usuarios no tienen que revocar las aprobaciones!
El contrato de liquidación de CoW Swap solo da salida a las comisiones que el protocolo ha acumulado a lo largo de la semana.
No puede acceder al dinero de los usuarios inmediatamente sin dar una compra firmada por el consumidor y ofreciéndoles al menos el volumen de compra limitado a cambio. https://t.co/t5VL05bHfe

— Intercambio de vacas | Lo mejor de las tarifas ideales (@CoWSwap) 7 de febrero de 2023

“El consumidor no necesita tener que realizar una operación de revocación. El acuerdo de conciliación de CowSwap solo emite los cargos de transacción que el protocolo cobra en exceso de tiempo. No hace posible las interacciones directas con los activos del consumidor sin que se produzca como resultado de un curso de acción de firma”.

Moneda sintética68

Quizás te interese: