CoW (इच्छाओं का संयोग) प्रोटोकॉल , विकेन्द्रीकृत वित्त मंच जिस पर CoW स्वैप बनाया गया है, अपने निपटान स्मार्ट अनुबंध पर एक मल्टीसिग हमले से पीड़ित है।
खतरे का खुलासा सबसे पहले मेव रिफंड, एक ब्लॉकचेन सुरक्षा शोधकर्ता और व्हाइटहैट हैकर द्वारा जारी किया गया था।
@CoWस्वैप ऐसा लगता है कि आपका पैसा कहीं जा रहा है...https://t.co/li1NkXNeUp
- मेवरफंड (@MevRefund) फ़रवरी 7, 2023
ब्लॉकचेन सिक्योरिटी ऑडिटिंग फर्म पेकशील्ड ने बाद में ट्विटर पर खुलासे को सार्वजनिक करते हुए शोषण की पुष्टि की।
लगता है (1) @CoWस्वैपडीएआई खर्च के लिए स्वैपगार्ड को मंजूरी देने के लिए 2 दिन पहले जीपीवी10सेटलमेंट अनुबंध को धोखा दिया गया है और (2) जीपीवी2सेटलमेंट से डीएआई को स्थानांतरित करने के लिए स्वैपगार्ड को अभी ट्रिगर किया गया था। यहाँ दो संबंधित TX हैं: https://t.co/Tb8Sk5xqMR और https://t.co/JS7ejDhiAs https://t.co/Wpbeq4UoEP pic.twitter.com/oRWIzeOLzz
- पेकशील्ड इंक (@peckshield) फ़रवरी 7, 2023
शोषण में और विवरण थे ब्लॉकसेक द्वारा समझाया गया, एक स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग फर्म। ब्लॉकसेक के अनुसार, खतरे वाले अभिनेता के बटुए का पता एक मल्टीसिग के माध्यम से CoW स्वैप के "सॉल्वर" के रूप में जोड़ा गया था।
एक मल्टीसिग एक प्रकार का क्रिप्टो-सुरक्षा उपाय है जिसमें लेनदेन को स्वीकृत करने के लिए एक से अधिक पार्टियों के क्रिप्टोग्राफ़िक हस्ताक्षर की आवश्यकता होती है। हमलावर ने तब इस एक्सेस का उपयोग सेटलमेंट स्मार्ट कॉन्ट्रैक्ट को ट्रिगर करने और 550 BNB को Tornado Cash में निकालने के लिए किया, एक क्रिप्टो गुमनामी फ़नल जो उपयोगकर्ताओं को लेनदेन को छिपाने में सक्षम बनाता है, जिससे किसी और के लिए उन्हें ट्रेस करना कठिन हो जाता है।
धमकी देने वाले अभिनेता के पते ने बाद में स्वैपगार्ड के लिए डीएआई को मंजूरी देने के लिए लेन-देन का आह्वान किया, जिससे स्वैपगार्ड को डीएआई को सीओडब्ल्यू के स्वैप निपटान अनुबंध से कई अलग-अलग पतों पर स्थानांतरित करने के लिए प्रेरित किया।
जबकि CoW स्वैप ने अभी तक इस मामले पर एक आधिकारिक बयान जारी नहीं किया है, प्रोटोकॉल के डेवलपर्स का दावा है कि वे पहले से ही भेद्यता पर काम कर रहे हैं। प्रोटोकॉल में यह भी कहा गया है कि एक्सप्लॉइट का निपटान अनुबंध केवल उस शुल्क तक पहुंच सकता है जो प्रोटोकॉल द्वारा एक सप्ताह के समय में एकत्र किया गया है, उपयोगकर्ता धन सुरक्षित है, यह देखते हुए कि इन्हें केवल उपयोगकर्ता द्वारा निष्पादित आदेश के माध्यम से कैसे हस्ताक्षरित किया जा सकता है। CoW स्वैप की टीम ने उपयोगकर्ताओं को आश्वस्त किया कि उनके खाते शोषण से अप्रभावित रहेंगे, यह कहते हुए कि उन्हें किसी भी पूर्व अनुमोदन को रद्द करने की आवश्यकता नहीं थी।
अस्वीकरण: यह लेख केवल सूचना के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।
स्रोत: https://cryptodaily.co.uk/2023/02/cow-swap-protocol-exploit-drains-550-bnb