Un hack bien vache – L’écosystème de la finance décentralisée est gangrené par les hacks. Ainsi, chaque semaine, un nouveau protocole est la cible d’une attaque entraînant la perte de milliers de dollars. Cette fois-ci, c’est le protocole CoW Swap qui a été victime d’un hack.
180 000 dollars de dérobés sur CoW Swap
CoW Swap est une plateforme d’échange décentralisée qui évolue sur Ethereum et la Gnosis Chain. Celle-ci se différencie de ses concurrents en proposant un système de protection anti-MEV.
Le 7 février, le chercheur MevRefund a alerté CoW Swap d’un mouvement de fonds suspect en provenance d’un de ses contrats.
En effet, une transaction d’un montant de 114 000 DAI a été émise depuis le contrat GPv2Settlement, vers une adresse Ethereum.
Rapidement, la piste de la faille est envisagée. En effet, peu de temps après cette alerte, les équipes de CoW Swap ont communiqué concernant l’affaire.
« La nuit dernière, un pirate a exploité un solveur externe et l’a utilisé pour vider le contrat de règlement, qui contenait 7 jours de frais de protocole. »
En pratique, le contrat en question permet de gérer les ordres, administrer l’interaction avec les liquidités on-chain et stocker l’état des ordres en cours.
Au total, l’attaquant aurait été en mesure de dérober 551 BNB, soit environ 181 000$. Heureusement, les fonds des utilisateurs n’ont pas été affectés. Les fonds de CoW Swap non plus.
Effectivement, comme expliqué sur Twitter, ce sont les frais collectés pour la semaine qui ont été dérobés. Ces derniers devaient être redistribués auprès des différents Solver de CoW Swap.
Déroulement de l’attaque
Dans leur communication, les équipes de CoW Swap ont détaillé le déroulement de l’attaque. Ainsi, il y a une dizaine de jours, un nouveau Solver a été ajouté, intitulé the Barter Solver.
En pratique, les Solver sont des acteurs externes au protocole, qui se font concurrence pour trouver la meilleure route lors d’un swap.
Peu après avoir été validé par le protocole en tant que Solver, Barter Solver a approuvé un contrat malicieux.
« Le mauvais contrat (déployé il y a 12 jours) permettait à quiconque d’utiliser cette approbation pour transferFrom(settlementContract, arbitraryAddress). »
Par conséquent, un hacker a été en mesure d’exploiter la situation. Il a appelé la fonction transferFrom pour transférer les fonds détenus par le contrat GPv2Settlement vers son adresse.
Heureusement, il semblerait qu’il y ait eu plus de peur de que mal, comme expliqué par les équipes de CoW Swap :
« Les dommages potentiels sont plafonnés aux revenus hebdomadaires du protocole qui sont protégés par les pools de cautionnement des solveurs. Nous nous excusons pour la frayeur matinale, c’était un bon test de stress pour CoW Swap. »
De son côté, l’attaquant a fait transiter les fonds entre diverses adresses et diverses blockchains. Il y a fort à parier que celui-ci tente de brouiller les pistes et fasse transiter les fonds par le protocole Tornado Cash.
Le protocole BonqDAO n’a quant à lui pas eu autant de chance. En effet, une attaque d’envergure a permis à un hacker de dérober l’équivalent de 2 millions de dollars. En pratique, les dégâts auraient pu être bien plus importants pour BonqDAO.
Vous redoutez les décisions des banques centrales ? Faites le plein de Bitcoin avant que le couperet réglementaire ne tombe. Inscrivez-vous dès maintenant sur Trade Republic. Vous recevrez un cadeau de 20 € (sous condition de dépôt de 2000 €) pour passer à l’action (lien commercial).
