крава (случајност жеља) Протокол , децентрализована финансијска платформа на којој је изграђен ЦоВ Свап, претрпела је напад са више потписа на свој паметни уговор о поравнању.
Откривање претње први је објавио МевРефунд, истраживач безбедности блокчејна и хакер Вхитехат.
@ЦоВСвап изгледа да ваша средства нестају...https://t.co/li1NkXNeUp
— МевРефунд (@МевРефунд) 7. фебруара 2023. године
Фирма за ревизију безбедности блокчејна ПецкСхиелд касније је потврдила експлоатацију, објавивши то на Твитеру.
Чини се (1) @ЦоВСвапГПв2Сеттлемент уговор корисника је преварен пре 10 дана да би се одобрио СвапГуард за ДАИ потрошњу и (2) СвапГуард је управо покренут да пренесе ДАИ са ГПв2Сеттлемент-а. Ево два повезана ткс-а: https://t.co/Tb8Sk5xqMR https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP пиц.твиттер.цом/оРВИзеОЛзз
- ПецкСхиелд Инц. (@пецксхиелд) 7. фебруара 2023. године
Даљи детаљи о експлоатацији су били објаснио је БлоцкСец, ревизорска кућа паметних уговора. Према БлоцкСец-у, адреса новчаника актера претње је додата као „решавач“ ЦоВ Свап-а преко вишеструког потписа.
Вишеструки потпис је врста крипто-безбедносне мере у којој је потребан криптографски потпис више од једне стране да би се одобрила трансакција. Нападач је затим искористио овај приступ да покрене паметни уговор о поравнању и одвуче 550 БНБ у Торнадо Цасх, ток крипто анонимности који омогућава корисницима да маскирају трансакције, што отежава било коме другом да им уђе у траг.
Адреса актера претње је касније призвала трансакцију како би одобрила ДАИ према СвапГуард-у, што је навело СвапГуард да пренесе ДАИ из ЦоВ-овог уговора о свап поравнању на више различитих адреса.
Иако ЦоВ Свап још није објавио званичну изјаву о овом питању, програмери протокола тврде да већ раде на рањивости. Протокол је такође рекао да уговор о поравнању експлоатације може приступити само накнадама које су наплаћене протоколом у року од недељу дана, уз обезбеђена корисничка средства, с обзиром на то како се она могу потписати само путем налога који изврши корисник. Тим ЦоВ Свап-а уверио је кориснике да експлоатација неће утицати на њихове налоге, додајући да од њих није потребно да повуку никаква претходна одобрења.
Изјава о одрицању одговорности: Овај чланак је представљен само у информативне сврхе. Није понуђен нити намерава да се користи као правни, порески, инвестициони, финансијски или други савет.
Извор: хттпс://цриптодаили.цо.ук/2023/02/цов-свап-протоцол-екплоит-драинс-550-бнб