De acordo com as empresas de segurança PeckShield e BlockSec, o agregador de exchanges descentralizadas (DEX), CoWSwap, foi vítima de um significativo ataque hacker, com o invasor roubando mais de US$ 180.000 em fundos nesta terça-feira (7).
A CoWSwap visa oferecer aos usuários as melhores oportunidades de preço nas operações em exchanges descentralizadas.
Infelizmente, um hacker direcionou seu ataque para o contrato inteligente de liquidação comercial, GPv2Settlement, e conseguiu esvaziar parte dos fundos.
A PeckShield, empresa de análise de segurança, afirma que o hacker roubou aproximadamente US$ 180.000 em DAI durante o ataque à CoWSwap. O criminoso transferiu os fundos para o Tornado Cash, obtendo 551 BNB.
Como foi o ataque hacker
A princípio, o invasor teria enganado o proprietário do contrato GPv2Settlement para aprovar o uso do SwapGuard, o que normalmente não é permitido.
Esta aprovação pode ter facilitado o ataque, pois o SwapGuard permite “chamadas de função arbitrárias”. No mundo dos contratos inteligentes, estas chamadas permitem que qualquer pessoa execute qualquer função do código.
De acordo com a PeckShield, o SwapGuard é um segundo contrato utilizado pelo CoWSwap para auxiliar na validação de resultados das operações.
Segundo um porta-voz da empresa de segurança BlockSec, existe uma função no contrato SwapGuard que pode transferir dinheiro para qualquer endereço.
O invasor utilizou essa função pública para transferir o DAI para seu endereço no Tornado Cash.
A equipe do CoWSwap disse que o contrato de liquidação que foi explorado só tem acesso às taxas cobradas pelo protocolo em uma semana e que o hacker não conseguiu acessar diretamente os fundos dos usuários.
De acordo com os desenvolvedores, para ter acesso aos fundos de usuários o dono da carteira deve assinar uma ordem aprovando a transação. Só então o hacker teria acesso ao valor dessa carteira.
No momento, CoWSwap afirma que está investigando o hack.
Por fim, agora resta saber se as explicações serão suficientes para convencer os usuários da DEX a não retirar seus fundos.