CoW Swap said it suffered no loss – despite $166k exploit

CoW Swap a déclaré qu’il n’avait subi aucune perte – malgré un exploit de 166 000 $

ParCryptoFinder

Le protocole d’échange décentralisé (DEX) CoW Swap a confirmé qu’il était exploité pour 166 000 $ par un pirate informatique qui a vidé un contrat de règlement contenant ses frais de protocole.

Pendant ce temps, la société d’analyse blockchain Nansen signalé que l’exploiteur a volé environ 180 000 $ – les fonds ont été regroupés dans deux portefeuilles contenant au moins 123 000 $ DAI, 50 000 $ BNB et 7 400 $ ETH.

L’exploit a d’abord été repéré par l’arpenteur blockchain MevRefund.

CoW Swap exploite les détails

L’échange décentralisé a dit une partie externe qui avait accès à son contrat de règlement avait mis l’approbation d’un « mauvais contrat » ​​il y a 10 jours.

Le pirate a exploité cette approbation car le mauvais contrat permettait à quiconque de passer du contrat de règlement.

La société de sécurité blockchain PeckShield corroboré Explication de CoW Swap. Le contrat DEX GPv2Settlement a été trompé il y a dix jours pour approuver SwapGuard pour les dépenses DAI, selon la firme.

L’exploiteur a ensuite déclenché SwapGuard pour transférer le DAI du contrat GPv2Settlement. Grâce à ce compromis, n’importe qui pourrait émettre un appel arbitraire sur le contrat.

CoW Swap a déclaré n’avoir subi aucune perte

Malgré l’exploit de 166 000 $, CoW Swap a déclaré qu’il ne subissait aucune perte car la caution de son résolveur paiera tous les dommages.

« Les dommages potentiels sont plafonnés au revenu hebdomadaire du protocole + sont protégés par les pools de liaison du solveur. »

Le DEX a ajouté qu’aucun des fonds de ses utilisateurs n’a été impacté car il ne détient pas leurs fonds.

Le protocole indiquait que toutes les approbations pour le mauvais contrat avaient été révoquées, ajoutant qu’aucune action malveillante n’était plus possible.

Les utilisateurs n’ont pas besoin de révoquer les approbations parce que le pirate « ne peut pas accéder directement aux fonds de l’utilisateur sans fournir une commande signée par l’utilisateur et lui donner au moins son montant d’achat limité en retour », a ajouté CoW Swap.

Le post CoW Swap a déclaré qu’il n’avait subi aucune perte – malgré l’apparition d’un exploit de 166 000 $ en premier sur CryptoSlate.