Платформа CoW Swap піддалася злому і втратила понад $182 тисячі

• Хакер використав уразливість у розрахунковому смарт-контракті платформи
• Адміністрація заявляє, що кошти клієнтів не постраждали
• Вкрадене хакер перевів у мікшер Tornado Cash

Сьогодні, 7 лютого, DEX CoW Swap було зламано. Невідомий скористався вразливістю в розрахунковому смарт-контракті, після чого вкрав з рахунку платформи 551 BNB (трохи більше ніж $182 тисячі).

Першим на це звернув увагу «білий хакер» із ніком «MevRefund». Потім інформацію підтвердили в PeckShield Alert і BlockSec. Незабаром вдалося прояснити картину події.

За допомогою мультипідпису хакер змінив смарт-контракт GPv2Settlement. Це було зроблено заздалегідь, близько 10 днів тому. Таким чином він отримав дозвіл SwapGuard на використання DAI.

Потім, коли він ініціював транзакцію для затвердження, сервіс просто «викачав» DAI з рахунку платформи. Приблизний збиток склав 551 BNB ($182,32 тисячі). Після крадіжки хакер перевів гроші в крипто-мікшер Tornado Cash.

Адміністрація CoW Swap запевняє, що кошти користувачів не постраждали. Нібито використаний зловмисником контракт має доступ тільки до комісій, зібраних протоколом за тиждень.

Таким чином представник DEX спробував заспокоїти аудиторію. На тлі новин про злом частина користувачів відкликала дозвіл платформи.

Майданчик уже оновив порушений смарт-контракт, усунувши рис довільного виконання. Усі понесені збитки адміністрація покриє власним коштом. Хто стоїть за зломом поки невідомо.