- Varnostna podjetja so ParaSwap zgodaj v torek opozorila na ranljivost
- Ranljivost v orodju, imenovanem Profanity, je bila prejšnji mesec izkoriščena za črpanje 160 milijonov dolarjev iz svetovnega proizvajalca kripto trga Wintermute
Podjetje BlockSec za varnostno infrastrukturo verige blokov potrdilo na Twitterju da je bil naslov uvajalca decentraliziranega menjalnega agregatorja ParaSwap ranljiv za tako imenovano ranljivost Profanity.
ParaSwap je bil prvi opozorjeno ranljivosti v torek zgodaj zjutraj, potem ko je skupina za varnost ekosistema Web3 Supremacy Inc. izvedela, da je bil naslov razmestitve povezan z več denarnicami z več podpisi.
Prekletstvo je bilo nekoč eno najbolj priljubljenih orodij za ustvarjanje naslovov denarnice, vendar je bil projekt opuščen zaradi temeljne varnostne napake.
Pred kratkim je bil vzpostavljen svetovni proizvajalec kripto trga Wintermute $ 160 milijonov zaradi domnevne napake preklinjanja.
Zach, razvijalec Supremacy Inc., ki ni navedel svojega priimka, je za Blockworks povedal, da so naslovi, ustvarjeni s preklinjanjem, ranljivi za vdore, ker za ustvarjanje zasebnih ključev uporabljajo šibka naključna števila.
"Če ti naslovi sprožijo transakcije v verigi, lahko izkoriščevalci obnovijo svoje javne ključe s transakcijami in nato pridobijo zasebne ključe z nenehnim povratnim poganjanjem javnih ključev," je Zach povedal Blockworks prek Telegrama v torek.
"Obstaja ena in samo ena rešitev [za to težavo], to je prenos sredstev in takojšnja sprememba naslova denarnice," je dejal.
Po preučitvi incidenta je ParaSwap dejal, da ni bila najdena nobena ranljivost, in zanikal, da je Profanity ustvaril svoj program za uvajanje.
Čeprav je res, da Profanity ni ustvaril programa za uvajanje, je soustanovitelj BlockSec Andy Zhou povedal Blockworks, da je orodje, ki je ustvarilo pametno pogodbo ParaSwap, še vedno izpostavljeno tveganju ranljivosti Profanity.
"Niso se zavedali, da so za ustvarjanje naslova uporabili ranljivo orodje," je dejal Zhou. "Orodje ni imelo dovolj naključnosti, kar bi omogočilo vdiranje naslova zasebnega ključa."
Poznavanje ranljivosti je prav tako lahko pomagalo BlockSecu pri povrnitvi sredstev. To je veljalo za protokola DeFi BabySwap in TransitSwap, ki sta bila oba napadena 1. oktobra.
"Sredstva smo lahko pridobili in jih vrnili v protokole," je dejal Zhou.
Potem ko so opazili, da je nekatere napadalne transakcije vodil bot, dovzeten za ranljivost psovk, so razvijalci BlockSec lahko učinkovito ukradli tatove.
Kljub njegovi priljubljenosti kot učinkovito orodje za ustvarjanje naslovov, razvijalec Profanity opozoril na Githubu, da je varnost denarnice najpomembnejša. »Koda ne bo prejela nobenih posodobitev in pustil sem jo v stanju, ki ga ni mogoče prevesti,« je zapisal razvijalec. "Uporabi nekaj drugega!"
Udeležite DAS: LONDON in poslušajte, kako največje TradFi in kripto institucije vidijo prihodnost institucionalnega sprejemanja kripto. Registrirajte se tukaj.
Vir: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/