DeFi 平台 CoW 协议在合约利用中损失超过 550 BNB

攻击者已经将部分被盗资金转移到加密混合器 Tornado Cash。

去中心化金融 (DeFi) 协议 CoW Swap 遭受智能合约攻击，导致损失约 551 BNB（181,600 美元）。

据报道，攻击者添加了一个钱包地址作为 CoW Swap 的“解决者”，并在将资产转移到其他地址之前调用了一个交易来批准 DAI 转移到 SwapGuard。

结算合约漏洞利用
区块链调查员 MevRefund 在今天凌晨首先注意到了这次攻击。最大可提取值 (MEV) 搜索器推文 CoW Swap 的资金正在转移，并补充说该协议的 SwapGuard 功能已获得许可，并允许任何人进行“任意函数调用”。

一小时内，区块链安全公司 PeckShield透露 十天前，CoW Swap 的 GPv2Settlement 合约被欺骗，批准 SwapGuard 用于 DAI 支出。

在利用时，攻击者只是触发了 SwapGuard 将 DAI 从 GPv2Settlement 合约中转出。

在更详细的解释中，区块链安全平台 BlockSec 透露，攻击者通过多重签名添加了一个钱包地址作为协议的求解器，因此具有批准交易的能力。由于 DAI 转移是通过结算合约批准的，因此开发者也可以批准转移到任意地址。

“吸取教训。带有任意调用接口的合约不应该有任何余地，0x55a37a2e5e5973510ac9d9c723aec213fa161919 错误将 DAI 的最大值批准给 SwapGuard，这是攻击的根本原因，”BlockSec说 .

超过 181,000 美元转移到 Tornado Cash
转移到利用者地址的代币包括BNB、USDT、USDC和ETH。到目前为止，大约 551 个价值超过 181,000 美元的 BNB 已转移到 OFAC 批准的加密混合器 Tornado Cash。

奶牛掉期敦促 用户不用担心，因为被盗资金是 CoW Protocol 过去一周的累计费用。该平台表示，该问题已得到缓解，目前正在调查中。

CoW Protocol 是本月遭受大胆黑客攻击的最新 DeFi 平台。 CryptoPotato 上周报道说猎户座协议 和BonqDAO 遭到黑客攻击，分别导致 300 万美元和 1000 万美元的损失。