- ParaSwap ble varslet om sårbarheten tidlig tirsdag av sikkerhetsfirmaer
- Sårbarheten, i et verktøy kalt Profanity, ble utnyttet til å tappe 160 millioner dollar fra den globale kryptomarkedsprodusenten Wintermute forrige måned
Blockchain-sikkerhetsinfrastrukturselskapet BlockSec bekreftet på Twitter at desentraliserte utvekslingsaggregator ParaSwaps distribusjonsadresse var sårbar for det som har blitt kjent som profanity-sårbarheten.
ParaSwap var først varslet av sårbarheten tidlig tirsdag morgen etter at Web3-økosystemsikkerhetsteamet Supremacy Inc. fikk vite at distribusjonsadressen var assosiert med flere multisignatur-lommebøker.
Banning var en gang et av de mest populære verktøyene som ble brukt til å generere lommebokadresser, men prosjektet ble forlatt pga. grunnleggende sikkerhetsfeil.
Senest ble den globale kryptomarkedsprodusenten Wintermute satt tilbake $ 160 millioner på grunn av en mistanke om banning.
En Supremacy Inc.-utvikler, Zach – som ikke oppga etternavnet sitt – fortalte Blockworks at Profanity-genererte adresser er sårbare for hacks fordi den bruker svake tilfeldige tall for å generere private nøkler.
"Hvis disse adressene initierer transaksjoner i kjeden, kan utnyttere gjenopprette sine offentlige nøkler gjennom transaksjoner og deretter få tak i de private nøklene ved kontinuerlig tilbakegående kollisjoner på de offentlige nøklene," sa Zach til Blockworks via Telegram tirsdag.
"Det er én og bare én løsning [på dette problemet], som er å overføre eiendelene og endre lommebokadressen umiddelbart," sa han.
Etter å ha sett på hendelsen, sa ParaSwap at ingen sårbarheter ble funnet og benektet at Profanity genererte sin distribusjon.
Selv om det er sant at Profanity ikke genererte deployeren, sa BlockSec-medgründer Andy Zhou til Blockworks at verktøyet som genererte ParaSwaps smarte kontrakt fortsatt var i fare for Profanity-sårbarhet.
"De var ikke klar over at de brukte et sårbart verktøy for å generere adressen," sa Zhou. "Verktøyet hadde ikke nok tilfeldighet som gjorde det mulig å knekke den private nøkkeladressen."
Kunnskap om sårbarheten har også vært i stand til å hjelpe BlockSec med å gjenopprette midler. Dette gjaldt DeFi-protokollene BabySwap og TransitSwap, som begge ble angrepet 1. oktober.
"Vi var i stand til å hente midlene og returnere dem til protokollene," sa Zhou.
Etter å ha lagt merke til at noen angrepstransaksjoner hadde blitt drevet av en bot som var utsatt for sårbarhet for banning, klarte BlockSec-utviklere effektivt å stjele fra tyvene.
Til tross for sin popularitet som et effektivt verktøy for å generere adresser, er utvikleren av Profanity advarte på Github at lommeboksikkerhet er avgjørende. "Koden vil ikke motta noen oppdateringer, og jeg har forlatt den i en ukompilerbar tilstand," skrev utvikleren. "Bruk noe annet!"
venter DAS: LONDON og hør hvordan de største TradFi- og kryptoinstitusjonene ser på fremtiden for kryptos institusjonelle adopsjon. Registrere her.
Kilde: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/