Платформа CoW Swap подверглась взлому и потеряла более $182 тысяч

• Хакер использовал уязвимость в расчетном смарт-контракте платформы
• Администрация заявляет, что средства клиентов не пострадали
• Украденное хакер перевел в микшер Tornado Cash

Сегодня, 7 февраля, DEX CoW Swap была взломана. Неизвестный воспользовался уязвимостью в расчетном смарт-контракте, после чего украл со счета платформы 551 BNB (чуть больше $182 тысяч).

Первым на это обратил «белый хакер» с ником «MevRefund». Затем информацию подтвердили в PeckShield Alert и BlockSec. Вскоре удалось прояснить картину произошедшего.

С помощью мультиподписи хакер изменил смарт-контракт GPv2Settlement. Это было сделано заранее, около 10 дней назад. Таким образом он получил разрешение SwapGuard на использование DAI.

Затем, когда он инициировал транзакцию для утверждения, сервис попросту «выкачал» DAI со счета платформы. Примерный ущерб составил 551 BNB ($182,32 тысячи). После кражи хакер перевел деньги в крипто-микшер Tornado Cash. 

Администрация CoW Swap уверяет, что средства пользователей не пострадали. Якобы использованный злоумышленником контракт имеет доступ только к комиссиям, собранным протоколом за неделю.

Таким образом представитель DEX попытался успокоить аудиторию. На фоне новостей о взломе часть пользователей отозвала разрешение платформы.

Площадка уже обновила затронутый смарт-контракт, устранив  рис произвольного выполнения. Все понесенные убытки администрация покроет за свой счет. Кто стоит за взломом пока неизвестно.