7 февраля, DEX CoW Swap была взломана. Неизвестный воспользовался уязвимостью в расчетном смарт-контракте, после чего украл со счета платформы 551 BNB (чуть больше $182 тысяч).
Первым на это обратил «белый хакер» «MevRefund». Эту информацию подтвердили в PeckShield Alert и BlockSec.
С помощью мультиподписи хакер изменил смарт-контракт GPv2Settlement. Это было сделано заранее, около 10 дней назад. Таким образом он получил разрешение SwapGuard на использование DAI.
Затем, когда он инициировал транзакцию для утверждения, сервис попросту «выкачал» DAI со счета платформы. Примерный ущерб составил 551 BNB ($182,32 тысячи). После кражи хакер перевел деньги в крипто-микшер Tornado Cash.
Администрация CoW Swap уверяет, что средства пользователей не пострадали. Якобы использованный злоумышленником контракт имеет доступ только к комиссиям, собранным протоколом за неделю.