- شرکتهای امنیتی در اوایل روز سهشنبه به ParaSwap هشدار دادند
- این آسیبپذیری، در ابزاری به نام Profanity، برای تخلیه ۱۶۰ میلیون دلار از سازنده بازار ارزهای دیجیتال Wintermute در ماه گذشته مورد سوء استفاده قرار گرفت.
شرکت زیرساخت امنیتی بلاک چین BlockSec تایید کرد در توییتر آدرس توسعهدهنده ParaSwap تجمعدهنده تبادل غیرمتمرکز در برابر چیزی که به عنوان آسیبپذیری Profanity شناخته میشود آسیبپذیر بود.
ParaSwap اول بود هشدار داد این آسیبپذیری در اوایل صبح سهشنبه پس از اینکه تیم امنیتی اکوسیستم Web3 Supremacy Inc متوجه شد که آدرس توسعهدهنده با کیف پولهای چند امضایی مرتبط است.
زمانی بدحجابی یکی از محبوبترین ابزارهایی بود که برای تولید آدرس کیف پول استفاده میشد، اما این پروژه به دلیل کنار گذاشته شد. نقص های اساسی امنیتی.
اخیراً، Wintermute، سازنده بازار ارزهای دیجیتال جهانی عقب نشست 160 میلیون دلار به دلیل یک اشکال مشکوک توهین
Zach یکی از توسعه دهندگان Supremacy Inc. - که نام خانوادگی خود را ارائه نکرد - به Blockworks گفت که آدرس های تولید شده توسط Profanity در برابر هک آسیب پذیر هستند زیرا از اعداد تصادفی ضعیف برای تولید کلیدهای خصوصی استفاده می کند.
زک روز سهشنبه از طریق تلگرام به Blockworks گفت: «اگر این آدرسها تراکنشها را در زنجیره آغاز کنند، بهرهبرداران میتوانند کلیدهای عمومی خود را از طریق تراکنشها بازیابی کنند و سپس کلیدهای خصوصی را با برخوردهای مداوم بر روی کلیدهای عمومی به دست آورند.
او گفت: «یک و تنها یک راه حل [برای این مشکل] وجود دارد که آن انتقال دارایی ها و تغییر فوری آدرس کیف پول است.
پس از بررسی این حادثه، ParaSwap گفت که هیچ آسیبپذیری یافت نشد و رد کرد که Profanity توسعهدهنده آن را ایجاد کرده است.
اگرچه درست است که Profanity توسعهدهنده را ایجاد نکرده است، اندی ژو، یکی از بنیانگذاران BlockSec به Blockworks گفت که ابزاری که قرارداد هوشمند ParaSwap را ایجاد کرد، همچنان در معرض خطر آسیبپذیری Profanity است.
ژو گفت: «آنها متوجه نشدند که از یک ابزار آسیب پذیر برای ایجاد آدرس استفاده کرده اند. "این ابزار تصادفی کافی نداشت که امکان شکستن آدرس کلید خصوصی را فراهم کرد."
آگاهی از این آسیبپذیری همچنین به BlockSec کمک کرده است تا وجوه را بازیابی کند. این در مورد پروتکلهای DeFi BabySwap و TransitSwap که هر دو در اول اکتبر مورد حمله قرار گرفتند صادق بود.
ژو گفت: «ما توانستیم وجوه را بازیابی کنیم و به پروتکلها برگردانیم.
توسعهدهندگان BlockSec پس از اینکه متوجه شدند برخی از تراکنشهای حمله توسط یک ربات مستعد آسیبپذیری فحشا اجرا میشدند، توانستند به طور موثری از سارقان سرقت کنند.
با وجود محبوبیت آن به عنوان یک ابزار کارآمد برای تولید آدرس، توسعه دهنده Profanity هشدار در Github که امنیت کیف پول بسیار مهم است. توسعهدهنده نوشت: «کد هیچ بهروزرسانی دریافت نمیکند و من آن را در حالت غیرقابل کامپایل گذاشتهام». "از چیز دیگری استفاده کنید!"
منتظر DAS: لندن و بشنوید که چگونه بزرگترین موسسات TradFi و رمزارزها آینده پذیرش نهادی کریپتو را می بینند. ثبت نام اینجا.
منبع: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/