- A ParaSwapot kedd hajnalban értesítették a biztonsági cégek a sebezhetőségről
- A Profanity nevű eszközben található sebezhetőséget kihasználva 160 millió dollárt vontak el a Wintermute globális kriptopiaci gyártótól a múlt hónapban.
A blokklánc biztonsági infrastruktúrával foglalkozó cég, a BlockSec megerősítette a Twitteren hogy a ParaSwap decentralizált adatcsere-aggregátorának telepítői címe sebezhető volt a Profanity sebezhetőség néven ismertté vált.
A ParaSwap volt az első riasztani A sebezhetőségről kedden kora reggel, miután a Web3 ökoszisztéma-biztonsági csapata, a Supremacy Inc. megtudta, hogy a telepítő címe több, több aláírást tartalmazó pénztárcához kapcsolódik.
A trágárkodás egykor az egyik legnépszerűbb eszköz volt a pénztárcacímek generálására, de a projektet félbehagyták alapvető biztonsági hibák.
Legutóbb a globális kriptopiaci gyártó, a Wintermute hátráltatott 160 millió $ egy feltételezett Profanity bug miatt.
A Supremacy Inc. fejlesztője, Zach – aki nem adta meg vezetéknevét – azt mondta a Blockworks-nek, hogy a Profanity által generált címek sebezhetőek a feltörésekkel szemben, mivel gyenge véletlenszámokat használnak a privát kulcsok generálásához.
"Ha ezek a címek tranzakciókat indítanak el a láncon, a kihasználók tranzakciókon keresztül visszaszerezhetik nyilvános kulcsaikat, majd a nyilvános kulcsokon történő folyamatos ütközés útján megszerezhetik a privát kulcsokat" - mondta Zach a Blockworksnek a Telegramon keresztül kedden.
„Egyetlen megoldás van [erre a problémára], mégpedig az eszközök átadása és a pénztárca címének azonnali megváltoztatása” – mondta.
Miután megvizsgálta az incidenst, a ParaSwap azt mondta, hogy nem találtak sebezhetőséget, és tagadta, hogy a Profanity hozta létre a telepítőjét.
Bár igaz, hogy a Profanity nem hozta létre a telepítőt, Andy Zhou, a BlockSec társalapítója azt mondta a Blockworks-nek, hogy a ParaSwap intelligens szerződését létrehozó eszköz továbbra is fennáll a Profanity sebezhetőségének kockázata.
"Nem vették észre, hogy egy sebezhető eszközt használtak a cím létrehozásához" - mondta Zhou. "Az eszköz nem volt elég véletlenszerű, ami lehetővé tette a privát kulcs címének feltörését."
A sérülékenység ismerete segítheti a BlockSec-et a pénzeszközök visszaszerzésében. Ez igaz volt a DeFi BabySwap és TransitSwap protokollokra, amelyeket október 1-jén támadtak meg.
„Le tudtuk szerezni az alapokat, és visszaadtuk a jegyzőkönyvbe” – mondta Zhou.
Miután észrevették, hogy egyes támadási tranzakciókat a Profanity sebezhetőségére érzékeny bot irányított, a BlockSec fejlesztői hatékonyan tudtak ellopni a tolvajokat.
Annak ellenére, hogy népszerűsége a címek generálásának hatékony eszköze, a Profanity fejlesztője figyelmeztetni a Githubon, hogy a pénztárca biztonsága a legfontosabb. "A kód nem fog frissítéseket kapni, és lefordíthatatlan állapotban hagytam" - írta a fejlesztő. – Használj mást!
Részt vesz DAS: LONDON és hallgassa meg, hogyan látják a legnagyobb TradFi és kriptointézetek a kriptográfia intézményi bevezetésének jövőjét. Regisztráció itt.
Forrás: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/