Buzz
Trong buổi sáng hôm nay (07/02), một lỗ hổng bảo mật đã gây ra vấn đề cho CowSwap. Số tiền mất mát được ước tính khoảng 200.000 USD.
Đơn vị kiểm định mã nguồn BlockSec đã đăng tải thông báo về tình trạng lỗ hổng khiến CowSwap gặp vấn đề.
“Địa chỉ ví của kẻ tấn công đã được thêm vào danh sách “Giải quyết viên” của CowSwap thông qua ví quản trị multisig. Sau đó, kẻ tấn công đã thực hiện giao dịch rút DAI thông qua hợp đồng SwapGuard.”
Cụ thể, Giải quyết viên là một bên thứ ba, giúp kết nối các giao dịch mua bán trên nền tảng của CowSwap. Quá trình này diễn ra ngoài chuỗi nhằm giảm bớt chi phí cho người dùng. Tuy nhiên, trong chuỗi tweet phân tích của mình, tài khoản smartcontracts.eth đã chỉ ra rằng điều này đã trở thành một điểm yếu cho thiết kế của sản phẩm.
“Điều này hoàn toàn khả thi vì giải quyết viên được phép thực hiện các thao tác độc lập như gói gọn nhiều lệnh giao dịch khác nhau. Điều này có vẻ kỳ quặc, nhưng không ai có thể biết trước được. Tôi không phải là người thiết kế của CowSwap.”
Theo đó, phần lớn phân tích cho thấy lỗ hổng nằm ở việc hợp đồng SwapGuard cho phép “không giới hạn” cho nhiều loại token khác nhau, làm cho kẻ tấn công có thể xâm nhập và rút tiền khỏi hợp đồng GPv2Settlement.
Kẻ tấn công đã chuyển 551 BNB sang Tornado Cash để xoá dấu vết. Số tiền này tương đương với mức thiệt hại 181.000 USD.
Tính đến thời điểm này, CowSwap chưa đưa ra thông báo chi tiết về sự cố. Thay vào đó, dự án chỉ cho biết lỗ hổng liên quan đến hợp đồng quản lý phí giao dịch thu về cho sản phẩm. Hợp đồng này không ảnh hưởng đến tài sản của người dùng.
“Người dùng không cần phải thực hiện thao tác thu hồi. Hợp đồng giải quyết của CowSwap chỉ lưu trữ phí giao dịch mà giao thức thu được theo thời gian. Nó không cho phép tương tác trực tiếp với tài sản của người dùng mà không thông qua quy trình xác nhận.”
Mytour
Bạn có thể quan tâm:
- Thảo luận về DeFi ep.75: Sự tối ưu giữa các sàn giao dịch tập trung và phi tập trung là gì?
- Ethereum sắp ra mắt testnet cho việc rút ETH từ staking
