A exchange descentralizada (DEX) CoW Swap foi alvo de um ataque hacker, em que perdeu mais de US$ 180.000 em ativos. Ou seja, pouco mais de R$ 920 mil na cotação atual em reais. A CoW Swap é um agregador de exchanges descentralizadas que visa fornecer aos usuários os melhores preços em DEXs.
De acordo com as empresas de segurança PeckShield e BlockSec, o invasor aproveitou uma vulnerabilidade no contrato inteligente de liquidação comercial, o GPv2Settlement, para drenar fundos da DEX.
A PeckShield estimou que o invasor roubou cerca de US$ 180.000 em DAI do CoW Swa. Em seguida, o hacker enviou os ativos para o mixer de criptomoedas Tornado Cash, obtendo 551 BNB.
- Leia também: Genesis e Gemini chegam em um acordo
Hacker rouba ativos de exchange descentralizada
Conforme explicou a PeckShield, aparentemente, o hacker enganou o proprietário do contrato GPv2Settlement para aprovar o uso do SwapGuard, o que, em geral, não é permitido. O SwapGuard é um segundo contrato usado pela CoW Swap para auxiliar e validar os resultados do swap.
Um porta-voz da empresa de segurança BlockSec informou ao The Block que existe uma função no contrato SwapGuard que permite transferir dinheiro para qualquer endereço. O invasor, então, acionou a função pública para transferir o DAI para seu endereço.
De acordo com a equipe da CoW Swap, o contrato de liquidação que foi explorado só tem acesso às taxas cobradas pelo protocolo em uma semana. Portanto, o hacker não conseguiu acessar diretamente os fundos dos usuários.
“Os usuários não precisam revogar as aprovações!”, tuitou a DEX. “O contrato de liquidação da CoW Swap armazena apenas as taxas que o protocolo acumulou ao longo da semana. “Ele não pode acessar os fundos do usuário diretamente sem fornecer um pedido assinado pelo usuário e dar a eles pelo menos o valor de compra limitada em troca.”
Em resposta ao ataque, a Cow Swap revogou imediatamente todas as aprovações para o contrato afetado. Além disso, atualizou para um novo contrato sem funcionalidade de código de execução arbitrária. Por fim, a equipe reforçou aos usuários que os seus fundos nunca estiveram em risco. Afinal, a Cow Swap não detém fundos de usuários.
Sobre a CoW Swap
A CoW Swap é diferente das DEXs tradicionais. Isso porque não exige que os usuários façam negociações por conta própria. Em vez disso, os usuários assinam um acordo comercial para trocar dois tokens por um preço específico.
A CoW Swap processou US$ 61 milhões em negociações nas últimas 24 horas, de acordo com o Dapp Radar. Esse número classifica o CoW Swap como o 11º maior DEX em volume, de acordo com a CoinGecko.