- ParaSwap je rano u utorak upozoren na ranjivost od strane zaštitarskih tvrtki
- Ranjivost, u alatu pod nazivom Profanity, iskorištena je kako bi se prošlog mjeseca izvuklo 160 milijuna dolara od globalnog proizvođača kripto tržišta Wintermutea
Tvrtka BlockSec za sigurnosnu infrastrukturu potvrdila na Twitter ta decentralizirana adresa agregatora razmjene ParaSwap bila je ranjiva na ono što je postalo poznato kao ranjivost psovki.
ParaSwap je bio prvi upozoreni ranjivosti u utorak rano ujutro nakon što je tim za sigurnost Web3 ekosustava Supremacy Inc. saznao da je adresa postavljača povezana s više novčanika s više potpisa.
Vulgarnost je nekoć bila jedan od najpopularnijih alata koji se koristio za generiranje adresa novčanika, ali projekt je napušten zbog temeljne sigurnosne nedostatke.
Nedavno je globalni kreator kripto tržišta Wintermute povučen $ 160 milijuna zbog sumnje na grešku psovki.
Programer Supremacy Inc., Zach — koji nije naveo svoje prezime — rekao je Blockworksu da su adrese generirane psovkama osjetljive na hakiranje jer koriste slabe slučajne brojeve za generiranje privatnih ključeva.
"Ako te adrese pokreću transakcije u lancu, eksploatatori mogu oporaviti svoje javne ključeve kroz transakcije i zatim dobiti privatne ključeve kontinuiranim povratnim sukobima na javnim ključevima", rekao je Zach za Blockworks putem Telegrama u utorak.
"Postoji jedno i samo jedno rješenje [za ovaj problem], a to je prijenos sredstava i promjena adrese novčanika odmah", rekao je.
Nakon pregleda incidenta, ParaSwap je rekao da nisu pronađene nikakve ranjivosti i zanijekao da je Profanity generirao svoj deployer.
Iako je istina da Profanity nije generirao program za implementaciju, suosnivač BlockSeca Andy Zhou rekao je za Blockworks da je alat koji je generirao ParaSwapov pametni ugovor još uvijek u opasnosti od ranjivosti Profanity.
"Nisu shvatili da su koristili ranjivi alat za generiranje adrese", rekao je Zhou. "Alat nije imao dovoljno slučajnosti što je omogućilo probijanje adrese privatnog ključa."
Poznavanje ranjivosti također je pomoglo BlockSecu da povrati sredstva. To je vrijedilo za DeFi protokole BabySwap i TransitSwap, koji su napadnuti 1. listopada.
"Uspjeli smo povratiti sredstva i vratiti ih u protokole", rekao je Zhou.
Nakon što su primijetili da je neke transakcije napada predvodio bot osjetljiv na ranjivost na vulgarnost, BlockSec programeri uspjeli su učinkovito ukrasti od lopova.
Unatoč svojoj popularnosti kao učinkovitog alata za generiranje adresa, programer Profanity upozorio na Githubu da je sigurnost novčanika najvažnija. "Kôd neće primati nikakva ažuriranja i ostavio sam ga u stanju koje se ne može kompajlirati", napisao je programer. "Upotrijebi nešto drugo!"
Prisustvovati DAS: LONDON i poslušajte kako najveće TradFi i kripto institucije vide budućnost institucionalnog usvajanja kripto. Registar ovdje.
Izvor: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/