logo
  • Tin tức
  • Báo cáo
  • Sự kiện
  • Nổi bật
  • Coin68 TV
  • E-Magazine
  • Góc nhìn
  • Báo cáo
  • Sự kiện
  • Nổi bật
  • Coin68 TV
  • E-Magazine
  • Góc nhìn
ads

CowSwap bị tấn công và những chi tiết đáng chú ý

-07/02/2023

Trong sáng nay (07/02), một lỗ hổng bảo mật đã khiến CowSwap bị tấn công. Thiệt hại ước tính dao động trong khoảng 200.000 USD.

CowSwap bị tấn công và những chi tiết đáng chú ý
CowSwap bị tấn công và những chi tiết đáng chú ý

Đơn vị audit code BlockSec đã đăng tải dòng trạng thái mô tả về lỗ hổng khiến CowSwap bị tấn công.

“Địa chỉ ví của kẻ tấn công đã được thêm vào danh sách “Solver” của CowSwap bởi ví quản trị multisig. Ví kẻ tấn công sau đó đã thông qua hợp đồng SwapGuard để bòn rút DAI.”

Cụ thể, Solver là bên thứ ba, đứng giữa để kết nối các giao dịch mua bán trên nền tảng của CowSwap. Quá trình này diễn ra off-chain nhằm tránh những chi phí không đáng có cho người dùng. Dù vậy, trong chuỗi tweet phân tích của mình, tài khoản smartcontracts.eth cho biết đây hoá ra lại trở thành điểm nghẽn cho thiết kế của sản phẩm.

“Điều này hoàn toàn khả thi vì solver được cho phép thực hiện các thao tác độc lập như đóng gói nhiều lệnh giao dịch khác nhau. Điều này nghe khá điên rồ, nhưng ai mà biết được, tôi không phải là người thiết kế CowSwap.”

Theo đó, phần lớn phân tích hiện cho rằng lỗ hổng nằm ở việc hợp đồng SwapGuard cấp phép “không giới hạn” cho nhiều dạng token khác nhau, khiến kẻ tấn công có thể xâm nhập và rút tiền khỏi hợp đồng GPv2Settlement.

Kẻ tấn công hiện đã chuyển 551 BNB sang Tornado Cash nhằm xoá dấu vết. Số tiền này tương ứng với mức thiệt hại 181.000 USD.

Ở thời điểm bài viết, CowSwap chưa đăng tải thông báo chi tiết nào về sự cố. Thay vào đó, dự án chỉ cho biết lỗ hổng trên liên quan đến hợp đồng quản lý phí giao dịch được thu về cho sản phẩm. Hợp đồng trên không ảnh hưởng đến tài sản của người dùng.

“Người dùng không cần phải thực hiện thao tác revoke. Hợp đồng settlement của CowSwap chỉ lưu trữ phí giao dịch mà giao thức thu về theo thời gian. Nó không cho phép những tương tác trực tiếp với tài sản người dùng mà không thông qua khâu kí nhận.”

Coin68 tổng hợp

Có thể bạn quan tâm:

-07/02/2023
logo-footer
Kết nối với chúng tôi
    Coin68 là nơi cung cấp cái nhìn tổng quan nhanh và chính xác nhất về tiến bộ công nghệ blockchain trên toàn cầu.
      Copyright © 2016 by Coin68