Puntos clave:
COW.FI como malicioso.
El intercambio descentralizado Cowswap enfrenta 1 brecha de seguridad crítica después de que su frontend fuera comprometido, lo que ha provocado advertencias para que los usuarios dejen de interactuar inmediatamente con la plataforma.
"La firma de seguridad Blockaid detectó la actividad maliciosa, marcó el dominio web COW.FI como comprometido y aconsejó a los usuarios revocar los permisos como medida de precaución", dijo un representante de Blockaid.
El ataque se dirige específicamente a la interfaz del intercambio orientada al usuario, intentando engañar a los usuarios para que firmen transacciones maliciosas. Este tipo de vulnerabilidad no afecta a los contratos inteligentes subyacentes, pero puede provocar la pérdida completa de los fondos de la billetera conectada de un usuario si aprueba una solicitud maliciosa. Los datos sobre el número de usuarios afectados o las pérdidas potenciales no estuvieron disponibles de inmediato.
El incidente resalta la amenaza persistente de los ataques de frontend en el ecosistema DeFi, donde incluso los contratos inteligentes seguros pueden verse socavados por vulnerabilidades en la infraestructura web. Esto podría dañar la confianza de los usuarios en Cowswap y potencialmente afectar el precio de su token nativo COW a medida que los operadores se mueven para reducir el riesgo y retirar liquidez. El ataque sirve como recordatorio para que los usuarios de DeFi practiquen una precaución extrema y utilicen herramientas como la simulación de transacciones de billetera.
Se recomienda a los usuarios que hayan interactuado con la interfaz de Cowswap que utilicen una herramienta como el Comprobador de Aprobación de Tokens de Etherscan para revisar y revocar cualquier permiso activo otorgado a la dirección del contrato de Cowswap. Este es un paso crucial para evitar transferencias de activos no autorizadas desde sus billeteras. El ataque es parte de una tendencia creciente que apunta a las aplicaciones web construidas sobre protocolos de blockchain, eludiendo la seguridad del propio código on-chain.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.