O CoW Swap sofreu um hack recentemente e perdeu mais de US$ 180.000 em fundos, conforme informou as empresas de segurança PeckShield e BlockSec. CoW Swap é um agregador de troca descentralizada (DEX).
O invasor pegou seu contrato inteligente de liquidação comercial, GPv2Settlement, e conseguiu drenar fundos do agregador. O intuito da CoW Swap é permitir que os usuários consigam melhores preços em trocas descentralizadas.
It seems (1) @CoWSwap‘s GPv2Settlement contract has been tricked 10 days ago to approve SwapGuard for DAI spending and (2) SwapGuard was just triggered to transfer out DAI from GPv2Settlement. Here are the two related txs: https://t.co/Tb8Sk5xqMR and https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
— PeckShield Inc. (@peckshield) February 7, 2023
Conforme estima a PeckShield, o hacker drenou drenou aproximadamente US$ 180.000 em DAI do agregador e, posteriormente, enviou os fundos roubados para o Tornado Cash para obter 551 BNB.
O invasor mirou o GPv2Settlement, que é um contrato inteligente de liquidação comercial. O contrato atacado integra o protocolo CoW Swap alpha (GPv2).
#PeckshieldAlert @CoWSwap exploiter has transferred ~551 $BNB ($181.6k) to Tornado Cash pic.twitter.com/WepbstD6Xd
— PeckShieldAlert (@PeckShieldAlert) February 7, 2023
Em seu Twitter, a CoW Swap informou: “Os usuários não precisam revogar as aprovações! O contrato de liquidação de CoW Swap armazena apenas as taxas que o protocolo acumulou durante a semana. Ele não pode acessar os fundos do usuário diretamente sem fornecer um pedido assinado pelo usuário e dar a ele pelo menos o valor de compra limitada em troca”.
Preferido pelos hackers, as criptomoedas roubadas são geralmente canalizadas para o Tornado Cash pela razão de permitir que o histórico de transações sejam ocultados. Vale lembrar que, em 19 de janeiro, a empresa de segurança CertiK alertou para um endereço Ethereum, que estava conectado ao explorador de Raydium, e lavou US$ 2,7 milhões em ether. A ação aconteceu através do Tornado Cash.
O Tornado Cash é outra solução para o problema de privacidade e anonimato em blockchains públicos transparentes. O protocolo garante que um usuário pode quebrar um link em uma operação em cadeia com o objetivo de melhorar a privacidade da transação entre o destinatário e o endereço de destino.