Cow Swap a subi très tôt ce matin un piratage majeur d’environ 551 BNB, qui se chiffre actuellement à 181 600 dollars en DAI. L’attaquant aurait réussi à détourner le contrat intelligent de règlement des transactions, GPv2Settlement, pour voler les fonds liés aux frais que le protocole a collectés.
Une perte estimée à 180 000$ pour Cow Swap
Cow Swap, un agrégateur de DEX, a été victime d’un hack d’une valeur de 181 000 dollars. Les attaquants ont exploité une faille dans le contrat intelligent de règlement (settlement) de l’agrégateur pour dérober les fonds liés aux frais collectés par le protocole aux alentours de 4h du matin aujourd’hui.
La plateforme a rapidement réagi à la situation et a pris des mesures pour limiter les dommages. L’équipe de Cow Swap a gelé les fonds restants et a lancé une enquête pour déterminer comment la faille a été exploitée. Ils ont également travaillé avec les exchanges pour bloquer les adresses où les fonds ont été transférés.
La société de sécurité blockchain PeckShield a estimé qu’environ 551 BNB ont été perdus, d’une valeur de 181 600 $ au moment de la rédaction. Après avoir volé les actifs, le pirate a déplacé les fonds vers le tristement célèbre mixeur de crypto, Tornado Cash.
Pendant cette attaque, beaucoup de membres de la communauté ont paniqué et ont exhorté les utilisateurs à révoquer les approbations du DEX. D’après l’équipe de Cow Swap, cette manipulation n’était pas nécessaire et les fonds des utilisateurs ont toujours été en sécurité.
Par ailleurs, Cow Swap rappelle à tous les utilisateurs de ne jamais stocker une quantité importante de fonds importants sur une plateforme centralisée sans avoir pris les précautions nécessaires pour les sécuriser correctement.
L’utilisation d’un portefeuille matériel comme Ledger avec des adresses dédiées pour chacun des protocoles est fortement recommandée pour stocker ses actifs numériques comme les crypto-monnaies ou les NFT.
La vulnérabilité de Cow Swap et de son « solver » expliquée
Pour mieux comprendre d’où provient la vulnérabilité, il faut comprendre comment fonctionne CoW Swap. Le protocole s’engage dans une « compétition de solveurs » qui sont en réalité des parties externes qui se font concurrence pour trouver la meilleure voie d’exécution pour les utilisateurs.
Chaque solveur a accès au contrat de règlement (settlement) qui stocke généralement les frais perçus sur une période d’une semaine, avant d’être utilisé pour récompenser les solveurs.
Étant donné que les solveurs ont accès au contrat de règlement et à ses frais, les solveurs ne sont ajoutés qu’une fois qu’ils ont mis en place un pool de liaison qui peut être réduit par CoW DAO en cas de comportement malveillant.
Il y a 10 jours, un nouveau solveur est entré en compétition : le Barter Solver. Peu de temps après avoir été mis sur liste blanche, le Barter Solver a donné une approbation à un « mauvais contrat ».
Ensuite, le « mauvais contrat », déployé il y a 12 jours, permettait à quiconque d’utiliser cette approbation pour transférer les fonds du contrat de règlement vers une adresse arbitraire. C’est ce qui a été exploité par un pirate hier soir, transférant un total de 166 000 USD du contrat de règlement vers son portefeuille.
Étant donné que CoW Swap est protégé contre les exploits du solveur par les pools de liaison du solveur, CoW Swap ne subit aucune perte.
Enfin, toutes les approbations pour le « mauvais contrat » ont été révoquées et aujourd’hui, plus aucune action malveillante n’est possible. Le Barter Solver a été mis à jour vers un nouveau contrat qui ne dispose pas de fonctionnalité de code d’exécution arbitraire intégrée.
Depuis 2017, je ne cesse d'explorer l'univers du Bitcoin, de la blockchain des crypto monnaies, des NFT et plus récemment, celui du Web3. Après avoir fondé Au Coin du Bloc en 2021, je met à disposition mes connaissances et tente de vulgariser les aspects obscurs pour rendre abordable et compréhensible cet univers naissant dans lequel je crois fermement.
