Le DEX CoW Swap vient de subir un hack majeur. Conséquence du méfait : une perte globale estimée à plus de 180,000$.
Hack du Dex CoW Swap 180,000$
CoW Swap, l’agrégateur d’échange décentralisé, s’est fait pirater durant la nuit dernière. Le hacker en question serait parvenu à subtiliser plus de 180,000$ de fonds à la plateforme.
En tant que DEX, CoW Swap cherche avant tout à proposer les meilleurs prix sur les échanges de cryptos DeFi à ses utilisateurs.
Néanmoins, un pirate informatique est parvenu à cibler le smart contract de la plateforme, GPv2Settlement afin de subtiliser des fonds.
PeckShield, le spécialiste en sécurité blockchain, a estimé le hack à 180,000$ en DAI. L’attaquant aurait alors redirigé les fonds vers Tornado Cash avant d’obtenir 551 BNB.
Après analyse, il semblerait que GPv2Settlement, le smart contract des règles commerciales de la plateforme, ait été trompé par le pirate.
Comment CoW Swap s’est fait hacker
En théorie, l’utilisation du SwapGuard n’est pas autorisée par GPv2Settlement. Néanmoins, le hacker serait parvenu à déjouer le contrat intelligent afin de le forcer à approuver la manœuvre.
SwapGuard est un autre contrat utilisé par le DEX CoW Swap afin de valider les résultats des swaps, selon PeckShield.
Un appel de fonction aléatoire a donc été créé par l’attaquant afin de pouvoir, par la suite, exécuter n’importe quelle fonction au sein du code.
Finalement, l’argent aura été redirigé vers l’adresse du pirate informatique.
Toutefois, selon les déclarations récentes de la plateforme, il semblerait qu’une petite partie des fonds seulement ait été exposée au piratage.
Les utilisateurs sont-ils menacés par le hack du DEX CoW Swap ?
Le pirate n’a pas pu accéder de manière directe aux fonds des utilisateurs de la plateforme. En effet, CoW Swap ne détient aucun fond.
L’équipe du DEX a également précisé qu’elle avait subi une attaque indirecte. Le hacker en question a, en réalité, exploité le compte d’un solveur, soit un participant qui rivalise avec les utilisateurs afin de fournir les meilleurs prix.
Le fonctionnement du DEX CoW Swap aura donc sauvé les utilisateurs d’un danger certain.
Dans les grandes lignes, la plateforme n’oblige pas les utilisateurs à effectuer les transactions eux-mêmes.
Au lieu de cela, ces derniers signent un contrat attestant qu’ils « donnent » les fonds à des solveurs.
Chacun des solveurs à ensuite accès au contrat de règlement qui, généralement, stock les frais perçus durant 7 jours.
Last night, a hacker exploited an external solver and used it to drain the settlement contract, which held 7 days worth of protocol fees.
Users are not affected since we never hold user funds (!)
Neither Cow Swap is affected: The solver's bond will pay for all damages.
A ??
— CoW Swap | Better than the best prices (@CoWSwap) February 7, 2023
Par conséquent, seuls les frais acquis par l’un de ces solveurs ont été subtilisés par le hacker.
Par ailleurs, en réponse à la violation, le DEX CoW Swap a immédiatement révoqué toutes les approbations pour le contrat concerné.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Sources : Twitter de CoW Swap, Etherscan
CoW Swap n’est pas le seul DEX à s’être fait hacker. Récemment, c’était au tour d’Orion Protocol. Pour en savoir plus, consultez notre article : Le DEX Orion Protocol hacké pour 3 millions de dollars
Romaric Saint Aubert
