- ParaSwap blev advaret om sårbarheden tidligt tirsdag af sikkerhedsfirmaer
- Sårbarheden, i et værktøj kaldet Profanity, blev udnyttet til at dræne $160 millioner fra den globale kryptomarkedsproducent Wintermute i sidste måned
Blockchain-sikkerhedsinfrastrukturfirmaet BlockSec bekræftede på Twitter at den decentraliserede udvekslingsaggregator ParaSwaps deployeradresse var sårbar over for det, der er blevet kendt som bandeordssårbarheden.
ParaSwap var først advaret af sårbarheden tidligt tirsdag morgen, efter at Web3-økosystemsikkerhedsteamet Supremacy Inc. erfarede, at deployer-adressen var forbundet med flere tegnebøger med flere signaturer.
Ukvemsord var engang et af de mest populære værktøjer, der blev brugt til at generere tegnebogsadresser, men projektet blev opgivet pga. grundlæggende sikkerhedsfejl.
Senest blev den globale kryptomarkedsproducent Wintermute sat tilbage $ 160 millioner på grund af en mistanke om bandeord-fejl.
En Supremacy Inc.-udvikler, Zach - som ikke oplyste sit efternavn - fortalte Blockworks, at bandeordgenererede adresser er sårbare over for hacks, fordi det bruger svage tilfældige tal til at generere private nøgler.
"Hvis disse adresser initierer transaktioner på kæden, kan udnyttere gendanne deres offentlige nøgler gennem transaktioner og derefter få de private nøgler ved kontinuerligt at fremdrive sammenstød på de offentlige nøgler," sagde Zach til Blockworks via Telegram tirsdag.
"Der er én og kun én løsning [på dette problem], som er at overføre aktiverne og ændre tegnebogens adresse med det samme," sagde han.
Efter at have undersøgt hændelsen sagde ParaSwap, at der ikke blev fundet nogen sårbarheder og nægtede, at Profanity genererede sin deployer.
Selvom det er rigtigt, at Profanity ikke genererede deployeren, fortalte BlockSec-medstifter Andy Zhou Blockworks, at værktøjet, der genererede ParaSwaps smarte kontrakt, stadig var i fare for Profanity-sårbarhed.
"De var ikke klar over, at de brugte et sårbart værktøj til at generere adressen," sagde Zhou. "Værktøjet havde ikke nok tilfældighed, som gjorde det muligt at knække den private nøgleadresse."
Viden om sårbarheden har også været i stand til at hjælpe BlockSec med at inddrive midler. Dette gjaldt for DeFi-protokollerne BabySwap og TransitSwap, som begge blev angrebet den 1. oktober.
"Vi var i stand til at hente midlerne og returnere dem til protokollerne," sagde Zhou.
Efter at have bemærket, at nogle angrebstransaktioner var blevet styret af en bot, der var modtagelig for sårbarhed, var BlockSec-udviklere i stand til effektivt at stjæle fra tyvene.
På trods af sin popularitet som et effektivt værktøj til at generere adresser, udvikleren af bandeord advarede på Github, at pungsikkerhed er altafgørende. "Koden vil ikke modtage nogen opdateringer, og jeg har efterladt den i en ukompilerbar tilstand," skrev udvikleren. "Brug noget andet!"
Deltage DAS: LONDON og hør, hvordan de største TradFi- og kryptoinstitutioner ser fremtiden for kryptos institutionelle adoption. Tilmeld her.
Kilde: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/