De acordo com as empresas de segurança PeckShield e BlockSec, o agregador de exchanges descentralizadas (DEX), CoWSwap, foi vítima de um significativo ataque hacker, com o invasor roubando mais de US$ 180.000 em fundos nesta terça-feira (7).
A CoWSwap visa oferecer aos usuários as melhores oportunidades de preço nas operações em exchanges descentralizadas.
Infelizmente, um hacker direcionou seu ataque para o contrato inteligente de liquidação comercial, GPv2Settlement, e conseguiu esvaziar parte dos fundos.
A PeckShield, empresa de análise de segurança, afirma que o hacker roubou aproximadamente US$ 180.000 em DAI durante o ataque à CoWSwap. O criminoso transferiu os fundos para o Tornado Cash, obtendo 551 BNB.
Como foi o ataque hacker
A princípio, o invasor teria enganado o proprietário do contrato GPv2Settlement para aprovar o uso do SwapGuard, o que normalmente não é permitido.
Esta aprovação pode ter facilitado o ataque, pois o SwapGuard permite “chamadas de função arbitrárias”. No mundo dos contratos inteligentes, estas chamadas permitem que qualquer pessoa execute qualquer função do código.
De acordo com a PeckShield, o SwapGuard é um segundo contrato utilizado pelo CoWSwap para auxiliar na validação de resultados das operações.
Segundo um porta-voz da empresa de segurança BlockSec, existe uma função no contrato SwapGuard que pode transferir dinheiro para qualquer endereço.
O invasor utilizou essa função pública para transferir o DAI para seu endereço no Tornado Cash.
A equipe do CoWSwap disse que o contrato de liquidação que foi explorado só tem acesso às taxas cobradas pelo protocolo em uma semana e que o hacker não conseguiu acessar diretamente os fundos dos usuários.
De acordo com os desenvolvedores, para ter acesso aos fundos de usuários o dono da carteira deve assinar uma ordem aprovando a transação. Só então o hacker teria acesso ao valor dessa carteira.
No momento, CoWSwap afirma que está investigando o hack.
We are aware of an issue that has impacted the fees that CoW Protocol has collected over the past week.
— CoW Swap | Better than the best prices (@CoWSwap) February 7, 2023
We have mitigated the issue and are conducting an investigation.
Traders are in no way affected.
More details to follow.
Por fim, agora resta saber se as explicações serão suficientes para convencer os usuários da DEX a não retirar seus fundos.