- ParaSwap anksti antradienį apie pažeidžiamumą įspėjo saugos įmonės
- Pažeidžiamumas, esantis įrankyje, pavadintame Profanity, praėjusį mėnesį buvo išnaudotas siekiant nusausinti 160 mln. USD iš pasaulinės kriptovaliutų rinkos gamintojos Wintermute.
„Blockchain“ saugumo infrastruktūros įmonė „BlockSec“ patvirtino Twitter decentralizuoto mainų kaupiklio „ParaSwap“ diegimo adresas buvo pažeidžiamas dėl to, kas tapo žinoma kaip nešvankybių pažeidžiamumas.
ParaSwap buvo pirmasis įspėtas pažeidžiamumą anksti antradienio rytą po to, kai Web3 ekosistemos saugumo komanda Supremacy Inc. sužinojo, kad diegimo adresas buvo susietas su keliomis kelių parašų piniginėmis.
Kažkada nešvankybės buvo viena iš populiariausių įrankių, naudojamų piniginės adresams generuoti, tačiau projekto buvo atsisakyta dėl esminių saugumo trūkumų.
Visai neseniai pasaulinė kriptovaliutų rinkos kūrėja Wintermute atsitraukė 160 milijonų JAV dolerių dėl įtariamos nešvankybės klaidos.
„Supremacy Inc.“ kūrėjas Zachas, nepateikęs savo pavardės, sakė „Blockworks“, kad „Profanity“ sugeneruoti adresai yra pažeidžiami įsilaužimų, nes privatiems raktams generuoti naudojami silpni atsitiktiniai skaičiai.
„Jei šie adresai inicijuoja operacijas grandinėje, išnaudotojai gali atkurti savo viešuosius raktus per operacijas ir gauti privačius raktus nuolat nukreipdami atgal susidūrimus su viešaisiais raktais“, – antradienį per „Telegram“ sakė Zachas „Blockworks“.
„Yra vienas ir vienintelis sprendimas [šiai problemai], tai yra nedelsiant perduoti turtą ir pakeisti piniginės adresą“, – sakė jis.
Išnagrinėjęs incidentą, „ParaSwap“ teigė, kad pažeidžiamumų nerasta, ir paneigė, kad „Profanity“ sukūrė savo diegimą.
Nors tiesa, kad „Profanity“ nesukūrė diegimo programos, „BlockSec“ vienas iš įkūrėjų Andy Zhou sakė „Blockworks“, kad įrankiui, sukūrusiam „ParaSwap“ išmaniąją sutartį, vis dar gresia Profanity pažeidžiamumas.
„Jie nesuvokė, kad naudojo pažeidžiamą įrankį adresui generuoti“, – sakė Zhou. „Įrankis neturėjo pakankamai atsitiktinumo, todėl buvo įmanoma nulaužti privataus rakto adresą.
Žinios apie pažeidžiamumą taip pat padėjo „BlockSec“ susigrąžinti lėšas. Tai pasakytina apie DeFi protokolus BabySwap ir TransitSwap, kurie abu buvo užpulti spalio 1 d.
„Mes galėjome atgauti lėšas ir grąžinti jas į protokolus“, - sakė Zhou.
Pastebėję, kad kai kurias atakų operacijas pirmiausia vykdė robotas, kuriam būdingas nešvankybių pažeidžiamumas, „BlockSec“ kūrėjai sugebėjo veiksmingai pavogti iš vagių.
Nepaisant jo populiarumo kaip veiksmingos adresų generavimo priemonės, „Profanity“ kūrėjas įspėjo, Github, kad piniginės saugumas yra svarbiausias. „Kodas negaus jokių atnaujinimų, todėl palikau jį nesukompiliuojamoje būsenoje“, – rašė kūrėjas. "Naudok ką nors kita!"
Dalyvaukite DAS: LONDONAS ir išgirskite, kaip didžiausios TradFi ir kriptovaliutų institucijos mato kriptovaliutų institucinio pritaikymo ateitį. Registruotis čia.
Šaltinis: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/