Децентрализовани агрегатор размене ЦоВ Свап претрпео је велики хак, при чему је нападач побегао са преко 180,000 долара средстава, према безбедносним фирмама ПецкСхиелд и БлоцкСец.
Као агрегатор децентрализоване размене (ДЕКС), циљ ЦоВ Свап-а је да корисницима пружи најбоље цене на децентрализованим берзама. Међутим, хакер је циљао свој паметни уговор за трговинско поравнање, ГПв2Сеттлемент, да одвуче средства.
ПецкСхиелд је проценио да је нападач из ЦоВ Свап-а извукао ДАИ у вредности од око 180,000 долара пре него што је преусмерио средства преко Торнадо Цасх-а да би добио 551 БНБ. Напад је био усмерен на ГПв2Сеттлемент, паметни уговор о трговању који је део ЦоВ Свап алфа (ГПв2) протокола.
Чини се да је нападач преварио власника ГПв2Сеттлемент уговора да одобри коришћење СвапГуард-а, што обично није дозвољено.
Према ПецкСхиелд-у, СвапГуард је други уговор који користи ЦоВ Свап да помогне и потврди резултате размене. Ово одобрење је можда допринело успеху напада, пошто СвапГуард дозвољава произвољне позиве функција. У контексту паметних уговора, произвољни позиви функција омогућавају свакоме ко има приступ уговору да изврши било коју функцију унутар његовог кода.
Портпарол БлоцкСец-а рекао је за Блоцк да постоји функција у уговору СвапГуард која може да пренесе новац на било коју адресу. Нападач се позвао на јавну функцију да ДАИ пренесе у њихов адреса.
Тим за замену крава рекао да уговор о поравнању који је експлоатисан има приступ само накнадама које је протокол прикупио за недељу дана и да хакер није могао директно да приступи корисничким средствима.
© 2023. Блоцк Црипто, Инц. Сва права задржана. Овај је чланак доступан само у информативне сврхе. Не нуди се или се не користи као правни, порески, инвестициони, финансијски или други савет.
Извор: хттпс://ввв.тхеблоцк.цо/пост/209187/дек-аггрегатор-цов-свап-фаллс-вицтим-то-180000-хацк?утм_соурце=рсс&утм_медиум=рсс