- ParaSwap a fost alertat marți dimineața despre vulnerabilitate de către firmele de securitate
- Vulnerabilitatea, într-un instrument numit Profanity, a fost exploatată pentru a scurge 160 de milioane de dolari de la producătorul global de cripto-piață Wintermute luna trecută.
Compania de infrastructură de securitate Blockchain BlockSec a confirmat pe Twitter Adresa acelui distribuitor al agregatorului de schimb descentralizat ParaSwap era vulnerabilă la ceea ce a devenit cunoscut sub numele de vulnerabilitatea Profanity.
ParaSwap a fost primul alertat a vulnerabilității marți dimineața devreme, după ce echipa de securitate a ecosistemului Web3 Supremacy Inc. a aflat că adresa deployerului a fost asociată cu mai multe portofele cu semnături multiple.
Odată, blasfemia a fost unul dintre cele mai populare instrumente folosite pentru a genera adrese de portofel, dar proiectul a fost abandonat din cauza defecte fundamentale de securitate.
Cel mai recent, producătorul global de cripto-piață Wintermute a fost retras $ 160 de milioane de din cauza unui bug suspectat de blasfemie.
Un dezvoltator de Supremacy Inc., Zach – care nu și-a furnizat numele de familie – a declarat pentru Blockworks că adresele generate de profanity sunt vulnerabile la hack-uri, deoarece utilizează numere aleatoare slabe pentru a genera chei private.
„Dacă aceste adrese inițiază tranzacții în lanț, exploatatorii își pot recupera cheile publice prin tranzacții și apoi pot obține cheile private prin propulsarea continuă a coliziunilor pe cheile publice”, a spus Zach pentru Blockworks prin Telegram, marți.
„Există o singură soluție [la această problemă], care este transferul activelor și schimbarea imediată a adresei portofelului”, a spus el.
După ce a analizat incidentul, ParaSwap a spus că nu au fost găsite vulnerabilități și a negat că Profanity și-a generat implementatorul.
Deși este adevărat că Profanity nu a generat deployerul, co-fondatorul BlockSec Andy Zhou a declarat pentru Blockworks că instrumentul care a generat contractul inteligent al ParaSwap era încă expus riscului de vulnerabilitate Profanity.
„Nu și-au dat seama că au folosit un instrument vulnerabil pentru a genera adresa”, a spus Zhou. „Instrumentul nu a avut suficientă aleatorie pentru a face posibilă spargerea adresei cheii private.”
Cunoașterea vulnerabilității a putut, de asemenea, să ajute BlockSec să recupereze fonduri. Acest lucru a fost valabil pentru protocoalele DeFi BabySwap și TransitSwap, care au fost ambele atacate la 1 octombrie.
„Am putut să recuperăm fondurile și să le întoarcem la protocoale”, a spus Zhou.
După ce au observat că unele tranzacții de atac au fost conduse de către un bot susceptibil la vulnerabilitatea profanității, dezvoltatorii BlockSec au reușit să fure efectiv de la hoți.
În ciuda popularității sale ca instrument eficient pentru generarea de adrese, dezvoltatorul lui Profanity a avertizat pe Github, securitatea portofelului este primordială. „Codul nu va primi nicio actualizare și l-am lăsat într-o stare necompilabilă”, a scris dezvoltatorul. „Folosește altceva!”
A se prezenta, frecventa DAS: LONDRA și auziți cum văd cele mai mari instituții TradFi și crypto viitorul adoptării instituționale a cripto. Inregistreaza-te aici.
Sursa: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/