- ParaSwap беше предупреден за ранливоста рано во вторникот од безбедносните фирми
- Ранливоста, во алатката наречена Profanity, беше искористена за да се трошат 160 милиони долари од глобалниот производител на крипто пазарот Wintermute минатиот месец.
Компанијата за инфраструктура за безбедност на блокчејн BlockSec потврди на Твитер Адресата на распоредувачот на децентрализираниот агрегатор на размена ParaSwap беше ранлива на она што стана познато како ранливост на вулгарности.
ParaSwap беше прв предупредени за ранливоста рано наутро во вторникот, откако тимот за безбедност на екосистемот Web3 Supremacy Inc. дозна дека адресата на распоредувачот е поврзана со повеќе паричници со повеќе потписи.
Вулгарството некогаш беше една од најпопуларните алатки што се користеа за генерирање адреси на паричникот, но проектот беше напуштен поради основни безбедносни пропусти.
Неодамна, глобалниот производител на крипто-пазарот Wintermute беше назадуван $ 160 милиони поради сомневање за бубачка за вулгарности.
Развивачот на Supremacy Inc., Зак - кој не го наведе своето презиме - изјави за Blockworks дека адресите генерирани од Profanity се ранливи на хакери бидејќи користи слаби случајни броеви за да генерира приватни клучеви.
„Доколку овие адреси иницираат трансакции на синџирот, експлоататорите можат да ги вратат своите јавни клучеви преку трансакции, а потоа да ги добијат приватните клучеви со континуирано назадување судири на јавните клучеви“, изјави Зак за Blockworks преку Telegram во вторникот.
„Постои едно и единствено решение [за овој проблем], а тоа е да се префрлат средствата и веднаш да се смени адресата на паричникот“, рече тој.
Откако го разгледа инцидентот, ParaSwap рече дека не се пронајдени пропусти и негираше дека Profanity го создал својот распоредувач.
Иако е точно дека Profanity не го генерира распоредувачот, ко-основачот на BlockSec, Енди Џоу, изјави за Blockworks дека алатката што го генерира паметниот договор на ParaSwap сè уште е изложена на ризик од ранливост на Profanity.
„Тие не сфатија дека користеле ранлива алатка за да ја генерираат адресата“, рече Џоу. „Алатката немаше доволно случајност што овозможи да се пробие адресата на приватниот клуч“.
Познавањето на ранливоста, исто така, може да му помогне на BlockSec да ги врати средствата. Ова беше точно за протоколите DeFi BabySwap и TransitSwap, кои беа нападнати на 1 октомври.
„Успеавме да ги вратиме средствата и да ги вратиме во протоколите“, рече Џоу.
Откако забележаа дека некои трансакции со напади биле управувани од бот подложен на ранливост на вулгарности, програмерите на BlockSec можеле ефективно да крадат од крадците.
И покрај неговата популарност како ефикасна алатка за генерирање адреси, развивачот на Profanity предупредија на Github дека безбедноста на паричникот е најважна. „Кодот нема да добива никакви ажурирања, а јас го оставив во некомпајлибилна состојба“, напиша развивачот. „Користете нешто друго!
ПрисуствуваЈ ДАС: ЛОНДОН и слушнете како најголемите TradFi и крипто институции ја гледаат иднината на институционалното усвојување на крипто. Регистрирајте се овде.
Извор: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/