基于以太坊的去中心化交易所聚合器CoW Swap周二警告用户避免使用该协议,并披露其前端介面已被入侵。
「我们正在积极努力解决这个问题,」以太坊联合创始人 Vitalik Buterin 经常使用的项目在发给 X 的一篇文章中表示。 “CoW 协定后端和 API 没有受到影响,但作为预防措施,我们已暂时暂停使用它们。”
CoW Swap 事件表明,攻击者已控制使用者在使用该协议之前通常访问的网站域名。这使得不法分子有机会将用户重定向到另一个网站,并透过批准恶意转帐来窃取资金。
尽管此次攻击并未影响 CoW Swap 的底层智能合约,但该协定在攻击曝光后三小时似乎仍处于冻结状态。与此同时,Discord 用户报告称,该项目的官方伺服器遭到了损失。
「我不知道该怎么办了,」一位用户说道,他声称自己透过CoW Swap被入侵的前端损失了超过5万美元。 “我一分钱都没有了。”
尽管明显存在挫折,但所遭受的损失范围尚不清楚。
一位化名为 MooKeeper 的 CoW Swap 团队成员告诉Decrypt ,他们正在积极调查和核实相关报告。他们补充说,更全面的评估报告将于明天或本周稍后发布。
「我们有证据表明,少数用户签署了恶意授权,金额非常小,」 MooKeeper补充道。
不过,一位在 X 论坛上名为 Vladimir S. 的知名网路安全研究员表示,迄今为止,已有价值约 50 万美元的数位资产「从几个地址中被盗走」。
去中心化基础设施供应商Gnosis的联合创始人兼执行长 Martin Köppelmann 在X 上发文指出,攻击的范围似乎有限。他表示,只有在过去几个小时内与 CoW Swap 进行过互动的用户才有可能受到影响。
模仿成熟的 DeFi 专案来欺骗用户的网站并不少见。例如,去年Curve Finance就遭遇了第二次 DNS 劫持。第一次发生在 2022 年,导致用户损失了 57 万美元。
布特林今年已使用CoW Swap将大量以太坊兑换成稳定币,链上分析公司Arkham Intelligence的数据显示,他最近一次使用该协议是在一周前。 2024年,他也利用这个去中心化交易所聚合器抛售了他持有的一种以泰国小河马为原型的「memecoin」 。
