- ParaSwap telah dimaklumkan tentang kerentanan awal Selasa oleh firma keselamatan
- Kerentanan, dalam alat yang dipanggil Profanity, telah dieksploitasi untuk menghabiskan $160 juta daripada pembuat pasaran crypto global Wintermute bulan lepas
Syarikat infrastruktur keselamatan rantaian BlockSec mengesahkan di Twitter bahawa pengagregat pertukaran terdesentralisasi alamat pengerahan ParaSwap terdedah kepada apa yang dikenali sebagai kerentanan Profanity.
ParaSwap adalah yang pertama dimaklumkan daripada kerentanan awal pagi Selasa selepas pasukan keselamatan ekosistem Web3 Supremacy Inc. mengetahui bahawa alamat penyerahan dikaitkan dengan dompet berbilang tandatangan.
Kata-kata kotor pernah menjadi salah satu alat paling popular yang digunakan untuk menjana alamat dompet, tetapi projek itu telah ditinggalkan kerana kelemahan keselamatan asas.
Terbaru, pembuat pasaran crypto global Wintermute telah diundur $ 160 juta disebabkan oleh pepijat Profanity yang disyaki.
Seorang pembangun Supremacy Inc., Zach — yang tidak memberikan nama belakangnya — memberitahu Blockworks bahawa alamat yang dijana Profanity terdedah kepada penggodaman kerana ia menggunakan nombor rawak yang lemah untuk menjana kunci peribadi.
"Jika alamat ini memulakan urus niaga pada rantaian, pengeksploitasi boleh mendapatkan semula kunci awam mereka melalui urus niaga dan kemudian mendapatkan kunci persendirian dengan perlanggaran secara berterusan ke belakang pada kunci awam," kata Zach kepada Blockworks melalui Telegram pada hari Selasa.
"Terdapat satu dan hanya satu penyelesaian [untuk masalah ini], iaitu memindahkan aset dan menukar alamat dompet serta-merta," katanya.
Selepas meneliti insiden itu, ParaSwap berkata bahawa tiada kelemahan ditemui dan menafikan Profanity menjana penyebarannya.
Walaupun benar bahawa Profanity tidak menjana pengerahan, pengasas bersama BlockSec Andy Zhou memberitahu Blockworks bahawa alat yang menjana kontrak pintar ParaSwap masih berisiko terdedah kepada Profanity.
"Mereka tidak menyedari mereka menggunakan alat yang terdedah untuk menjana alamat," kata Zhou. "Alat itu tidak mempunyai cukup rawak yang memungkinkan untuk memecahkan alamat kunci peribadi."
Pengetahuan tentang kelemahan juga telah dapat membantu BlockSec mendapatkan semula dana. Ini berlaku untuk protokol DeFi BabySwap dan TransitSwap, yang kedua-duanya diserang pada 1 Okt.
"Kami dapat mendapatkan semula dana dan mengembalikannya kepada protokol," kata Zhou.
Selepas menyedari bahawa beberapa transaksi serangan telah dijalankan oleh bot yang terdedah kepada kelemahan Profanity, pembangun BlockSec dapat mencuri dengan berkesan daripada pencuri.
Walaupun popularitinya sebagai alat yang cekap untuk menjana alamat, pembangun Profanity amaran di Github bahawa keselamatan dompet adalah yang terpenting. "Kod itu tidak akan menerima apa-apa kemas kini, dan saya telah meninggalkannya dalam keadaan tidak boleh disusun," tulis pemaju. “Gunakan sesuatu yang lain!”
menunggu DAS:LONDON dan mendengar bagaimana institusi TradFi dan crypto terbesar melihat masa depan penerimaan institusi crypto. Daftar di sini.
Sumber: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/