- Spoločnosť ParaSwap bola na túto zraniteľnosť upozornená bezpečnostnými spoločnosťami skoro v utorok
- Zraniteľnosť v nástroji s názvom Profanity bola minulý mesiac zneužitá na odčerpanie 160 miliónov dolárov od globálneho tvorcu kryptotrhu Wintermute.
Spoločnosť BlockSec, ktorá sa zaoberá bezpečnostnou infraštruktúrou blockchainu, potvrdila na Twitteri že adresa nasadenia decentralizovaného burzového agregátora ParaSwap bola zraniteľná voči tomu, čo sa stalo známym ako zraniteľnosť vulgárnych výrazov.
ParaSwap bol prvý upozornený zraniteľnosti v utorok skoro ráno po tom, čo sa tím pre zabezpečenie ekosystému Web3 Supremacy Inc. dozvedel, že adresa nasadenia bola spojená s viacerými peňaženkami s viacerými podpismi.
Vulgárne výrazy boli kedysi jedným z najpopulárnejších nástrojov používaných na generovanie adries peňaženky, ale od projektu sa upustilo základné bezpečnostné chyby.
Najnovšie bol globálny tvorca krypto trhu Wintermute zaskočený $ 160 miliónov z dôvodu podozrenia na chybu vulgárnych výrazov.
Vývojár Supremacy Inc., Zach – ktorý neuviedol svoje priezvisko – povedal Blockworks, že adresy generované vulgármi sú zraniteľné voči hackerom, pretože na generovanie súkromných kľúčov používa slabé náhodné čísla.
„Ak tieto adresy iniciujú transakcie v reťazci, vykorisťovatelia môžu obnoviť svoje verejné kľúče prostredníctvom transakcií a potom získať súkromné kľúče nepretržitým spätným hnaním kolízií na verejných kľúčoch,“ povedal Zach v utorok Blockworks cez Telegram.
„Existuje jedno a jediné riešenie [tohto problému], ktorým je previesť aktíva a okamžite zmeniť adresu peňaženky,“ povedal.
Po preskúmaní incidentu ParaSwap uviedol, že neboli nájdené žiadne zraniteľné miesta, a poprel, že Profanity vygeneroval svojho nasadzovača.
Aj keď je pravda, že Profanity nevygenerovalo nasadzovač, spoluzakladateľ BlockSec Andy Zhou povedal Blockworks, že nástroj, ktorý generoval inteligentnú zmluvu ParaSwap, bol stále vystavený riziku zraniteľnosti vulgárnych výrazov.
„Neuvedomili si, že na vygenerovanie adresy použili zraniteľný nástroj,“ povedal Zhou. "Nástroj nemal dostatočnú náhodnosť, ktorá umožnila prelomiť adresu súkromného kľúča."
Znalosť tejto zraniteľnosti tiež pomohla BlockSec získať finančné prostriedky. To platilo pre DeFi protokoly BabySwap a TransitSwap, ktoré boli napadnuté 1. októbra.
"Podarilo sa nám získať finančné prostriedky a vrátiť ich do protokolov," povedal Zhou.
Po tom, čo si všimli, že niektoré útočné transakcie boli vopred spustené botom náchylným na zraniteľnosť vulgárnych výrazov, vývojári BlockSec dokázali účinne ukradnúť zlodejov.
Napriek svojej popularite ako efektívny nástroj na generovanie adries, vývojár Profanity varovali na Github, že bezpečnosť peňaženky je prvoradá. „Kód nebude dostávať žiadne aktualizácie a ponechal som ho v nekompilovateľnom stave,“ napísal vývojár. "Použi niečo iné!"
čaká DAS: LONDÝN a vypočujte si, ako najväčšie TradFi a krypto inštitúcie vidia budúcnosť inštitucionálneho prijatia kryptomien. Registrovať tu.
Zdroj: https://blockworks.co/the-bug-that-took-down-wtermute-is-still-at-large/