先前报导,CoW Swap是由Gnosis团队开发、基于Gnosis Protocol 2(GPv2)所构建,特点包括抗MEV、链下的「批量拍卖」等功能。
「CoW」与奶牛无关,指的是其撮合方式「需求匹配(Coincidence of Wants,CoW)」,当交易双方达成需求一致性,即各自持有对方想要的资产时,交易可以直接在他们之间进行结算,而无需外部做市商或流动性提供者。
用户与CoW Swap的互动在链下完成,实际的链上交易,是链下找到匹配订单后,Gnosis才会将「撮合后的结果」重新发送至链上进行确认,从而实现低滑点、交易失败免付Gas Fee等特点。
黑客瞄准的「slover」漏洞
而针对链上外部流动性匹配的交易,GPv2引入「搜寻者(slover)」概念,这是协议整合的第三方工具,试图通过各方竞争来找出链上最佳交易。
Cow Swap上的交易会收取一定手续费,其中一部分会给予slover,而每个slover皆能访问结算合约,合约中通常会存放一周之内的手续费。
CoW Swap被黑经过
2/7晚间黑客通过slover耗尽了结算合约内的资金,据CoW Swap发布的分析报告,一个新的slover参加了搜寻者竞赛「solver competition」。
Barter Solver在被列入白名单后,其中的合约遭到利用,且黑客非常了解运作原理,直到slover计算手续费分润的最后一天才进行攻击,总计转走166,000美元。
Barter Solver团队已撤销相关的恶意合约,CoW Swap也强调用户资金无虞,因为他们从不托管用户资产,接着将决议是否要让Barter Solver重回竞赛,同时也对造成的恐慌致歉。