CoW Swap總計遭駭166,000美元，已撤銷惡意合約、用戶資金無虞

CoW Swap

先前報導，CoW Swap 是由 Gnosis 團隊開發、基於 Gnosis Protocol 2 (GPv2) 所構建，特點包括抗 MEV、鏈下的「批量拍賣」等功能。

「CoW」與奶牛無關，指的是其撮合方式「需求匹配 (Coincidence of Wants，CoW)」，當交易雙方達成需求一致性，即各自持有對方想要的資產時，交易可以直接在他們之間進行結算，而無需外部做市商或流動性提供者。

用戶與 CoW Swap 的互動在鏈下完成，實際的鏈上交易，是鏈下找到匹配訂單後，Gnosis 才會將「撮合後的結果」重新發送至鏈上進行確認，從而實現低滑點、交易失敗免付 Gas Fee 等特點。

駭客瞄準的「slover」漏洞

而針對鏈上外部流動性匹配的交易，GPv2 引入「搜尋者 (slover)」概念，這是協議整合的第三方工具，試圖透過各方競爭來找出鏈上最佳交易。

CowSwap 上的交易會收取一定手續費，其中一部分會給予 slover，而每個 slover 皆能訪問結算合約，合約中通常會存放一週之內的手續費。

CoW Swap 遭駭經過

2/7 晚間駭客透過 slover 耗盡了結算合約內的資金，據 CoW Swap 發佈的分析報告，一個新的 slover 參加了搜尋者競賽「solver competition」。

Barter Solver 在被列入白名單後，其中的合約遭到利用，且駭客非常了解運作原理，直到 slover 計算手續費分潤的最後一天才進行攻擊，總計轉走 166,000 美元。

Barter Solver 團隊已撤銷相關的惡意合約，CoW Swap 也強調用戶資金無虞，因為他們從不託管用戶資產，接著將決議是否要讓 Barter Solver 重回競賽，同時也對造成的恐慌致歉。