- ParaSwap został poinformowany o luce we wtorek przez firmy zajmujące się bezpieczeństwem
- Luka w narzędziu o nazwie Profanity została wykorzystana do pobrania 160 milionów dolarów od globalnego producenta rynku kryptowalut Wintermute w zeszłym miesiącu
Firma BlockSec zajmująca się infrastrukturą bezpieczeństwa BlockSec potwierdzona na Twitterze ten zdecentralizowany agregator wymiany, adres wdrożeniowca ParaSwap był podatny na to, co stało się znane jako luka wulgaryzmów.
ParaSwap był pierwszy zaalarmował luki we wtorek rano po tym, jak zespół ds. bezpieczeństwa ekosystemu Web3 Supremacy Inc. dowiedział się, że adres wdrożeniowca był powiązany z wieloma portfelami z wieloma podpisami.
Wulgaryzmy były kiedyś jednym z najpopularniejszych narzędzi służących do generowania adresów portfela, ale projekt został porzucony z powodu podstawowe wady bezpieczeństwa.
Ostatnio globalny animator rynku kryptowalut Wintermute został cofnięty $ 160 mln z powodu podejrzenia błędu wulgaryzmów.
Deweloper Supremacy Inc., Zach — który nie podał swojego nazwiska — powiedział Blockworks, że adresy generowane wulgaryzmem są podatne na ataki hakerów, ponieważ do generowania kluczy prywatnych używa słabych liczb losowych.
„Jeżeli te adresy zainicjują transakcje w łańcuchu, exploiterzy mogą odzyskać swoje klucze publiczne za pomocą transakcji, a następnie uzyskać klucze prywatne, stale cofając kolizje na kluczach publicznych” – powiedział Zach we wtorek dla Blockworks przez Telegram.
„Istnieje jedno i tylko jedno rozwiązanie [tego problemu], które polega na natychmiastowym przeniesieniu aktywów i zmianie adresu portfela” – powiedział.
Po zbadaniu incydentu ParaSwap powiedział, że nie znaleziono żadnych luk w zabezpieczeniach i zaprzeczył, że wulgaryzmy wygenerowały jego wdrożenie.
Chociaż prawdą jest, że Profanity nie wygenerowało programu wdrożeniowego, współzałożyciel BlockSec, Andy Zhou, powiedział Blockworks, że narzędzie, które wygenerowało inteligentną umowę ParaSwap, wciąż jest zagrożone luką w zabezpieczeniach.
„Nie zdawali sobie sprawy, że do wygenerowania adresu użyli podatnego narzędzia” – powiedział Zhou. „Narzędzie nie miało wystarczającej losowości, co umożliwiło złamanie adresu klucza prywatnego”.
Znajomość luki pomogła również BlockSec odzyskać fundusze. Dotyczyło to protokołów DeFi BabySwap i TransitSwap, które zostały zaatakowane 1 października.
„Udało nam się odzyskać fundusze i zwrócić je do protokołów” – powiedział Zhou.
Po zauważeniu, że niektóre transakcje ataku zostały przeprowadzone przez bota podatnego na lukę Profanity, programiści BlockSec byli w stanie skutecznie okraść złodziei.
Pomimo popularności jako wydajnego narzędzia do generowania adresów, twórca Profanity ostrzegł na Github, że bezpieczeństwo portfela jest najważniejsze. „Kod nie otrzyma żadnych aktualizacji, a ja pozostawiłem go w stanie niekompilacyjnym” – napisał programista. „Użyj czegoś innego!”
Uczęszczać DAS: LONDYN i posłuchaj, jak największe instytucje TradFi i kryptowaluty widzą przyszłość instytucjonalnej adopcji kryptowalut. Zarejestrować tutaj.
Źródło: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/