Uwaga, popularna giełda padła ofiarą ataku! Jeżeli z niej korzystałeś należy natychmiast działać
Kryptowaluty

Uwaga, popularna giełda padła ofiarą ataku! Jeżeli z niej korzystałeś należy natychmiast działać

Przez Adam Kubaty (peakhunter)

Firma ds. bezpieczeństwa na blockchainie Blockaid wykryła dzisiaj atak na frontend popularnej zdecentralizowanej giełdy (DEX) CoWSwap. Domena cow.fi została oznaczona jako złośliwa, a eksperci zalecili wstrzymanie przeprowadzania jakichkolwiek transakcji i natychmiastowe odwołanie udzielonych zgód.

Kolejna zła wiadomość dla entuzjastów zdecentralizowanych swapów na blockchainie. Systemy firmy Blockaid — specjalizującej się w bezpieczeństwie Web3 — wykryły aktywny atak na warstwę frontendową CoWSwap, jednej z najpopularniejszych zdecentralizowanych giełd kryptowalut. Domena cow.fi została natychmiast oznaczona jako niebezpieczna, a zintegrowane z Blockaid portfele kryptowalutowe zaczęły wyświetlać użytkownikom stosowne ostrzeżenia.

Komunikat wyświetlany przy próbie wejścia na stronę

Czym jest atak frontendowy?

W odróżnieniu od klasycznych exploitów wymierzonych w smart kontrakty, atak frontendowy nie dotyka warstwy blockchainowej protokołu — uderza w interfejs użytkownika, czyli stronę internetową, z której korzystają traderzy. Hakerzy modyfikują kod strony w taki sposób, aby transakcje podpisywane przez użytkowników trafiały nie na właściwe adresy, lecz prosto do portfeli przestępców. Ofiara widzi normalny ekran wymiany tokenów, a w rzeczywistości autoryzuje przelew na konto atakującego.

Ten rodzaj ataku jest szczególnie groźny, ponieważ nawet wielokrotnie audytowane i bezpieczne smart kontrakty nie stanowią żadnej ochrony, jeśli użytkownik zostaje nakłoniony do podpisania złośliwej transakcji.

Co zrobić, jeśli korzystałeś z CoWSwap?

Blockaid wydał jednoznaczne zalecenia dla wszystkich, którzy w ostatnim czasie łączyli swoje portfele z platformą: należy natychmiast cofnąć wszystkie udzielone zatwierdzenia tokenów (token approvals). Można to zrobić za pomocą narzędzi takich jak revoke.cash lub bezpośrednio przez funkcje zarządzania zgodami w portfelach obsługiwanych przez Blockaid. Do czasu wyjaśnienia incydentu eksperci radzą wstrzymać się od jakichkolwiek interakcji z interfejsem cow.fi.

Co ważne, według dostępnych na tę chwilę informacji, same smart kontrakty CoWSwap nie zostały naruszone — atak dotknął wyłącznie warstwę prezentacji, nie infrastruktury blockchainowej.

To nie pierwszy raz

CoWSwap ma już w swojej historii jeden poważny incydent bezpieczeństwa. W lutym 2023 roku platforma padła ofiarą ataku innego rodzaju — exploitu na tzw. solvera. Atakujący podszył się pod uprawnionego uczestnika sieci i poprzez mechanizm wielopodpisowy wprowadził złośliwy adres portfela jako solver. To pozwoliło mu autoryzować transakcję DAI na kontrakcie rozliczeniowym GPv2Settlement i wyprowadzić środki na zewnętrzne adresy. Straty wyniosły wówczas ponad 550 tokenów BNB, co odpowiadało około 180 000 dolarów po aktualnym kursie. Skradzione środki zostały następnie przesłane do Tornado Cash — miksera kryptowalutowego służącego do zacierania śladów transakcji.

Tamten atak jednak dotknął wyłącznie opłat zgromadzonych przez protokół — fundusze użytkowników pozostały bezpieczne, co CoWSwap szybko potwierdziło w komunikacie.

Przeczytaj też jak bardzo zmieniła się popularna giełda CEX oraz inne newsy z dzisiaj:

Binance to już nie ta sama giełda. Zabrali nam wolność!

Kryptowaluty czekają na bardzo ważne dane. Co jeszcze wydarzy się w tym tygodniu?

Altcoiny mocno spadną w tym tygodniu? Oto lista zagrożonych tokenów

Lekcja, której DeFi wciąż nie potrafi przyswoić

Oba incydenty — z 2023 i dziś — obnażają systematycznie ignorowany problem świata zdecentralizowanych finansów: same smart kontrakty mogą być nieskazitelne, a mimo to użytkownicy tracą pieniądze. Wystarczy przejęcie domeny, podmiana pliku JavaScript lub skompromitowanie zewnętrznej biblioteki, by nieskazitelna architektura blockchainowa stała się bezużyteczna.

Dla przeciętnego użytkownika DeFi płynie z tego jedna praktyczna nauka: przed podpisaniem każdej transakcji warto weryfikować jej szczegóły bezpośrednio w portfelu, korzystać z narzędzi do symulacji transakcji (np. wbudowanych w MetaMask lub Rabby), a po każdej sesji na giełdzie rozważyć cofnięcie udzielonych zgód.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Sprawdź!
Adam Kubaty (peakhunter)

Redaktor naczelny BitHub.pl, dziennikarz i analityk rynków finansowych. Inwestor indywidualny z ponad 15-letnim doświadczeniem. Absolwent Uniwersytetu Ekonomicznego w Krakowie na kierunku Rynki finansowe, ze specjalnością Doradztwo inwestycyjne.

Były zastępca redaktora naczelnego magazynu Profit Journal oraz Financial Reporting Analyst w State Street. Analizował prospekty inwestycyjne dla prywatnych inwestorów zainteresowanych rynkiem kryptoaktywów w ramach zdecentralizowanego funduszu VC Citizen Capital. Autor licznych wywiadów publikowanych w BitHub.pl, uczestnik konferencji branżowych i gospodarczych z ramienia portalu, w tym Forum Ekonomicznego w Karpaczu.

Specjalizuje się w analizie rynków finansowych, danych gospodarczych, trendów rynkowych oraz sektora kryptoaktywów, łącząc doświadczenie inwestora z praktyczną znajomością technologii blockchain i analizą danych on-chain.