- ParaSwap, güvenlik firmaları tarafından Salı günü erken saatlerde güvenlik açığı konusunda uyarıldı
- Profanity adlı bir araçtaki güvenlik açığı, geçen ay küresel kripto piyasası üreticisi Wintermute'den 160 milyon dolar çekmek için kullanıldı.
Blockchain güvenlik altyapısı şirketi BlockSec doğruladı Twitter'da merkezi olmayan değişim toplayıcısı ParaSwap'ın dağıtımcı adresi, Küfür güvenlik açığı olarak bilinen duruma karşı savunmasızdı.
ParaSwap ilk oldu uyarı Web3 ekosistem güvenlik ekibi Supremacy Inc.'in, dağıtımcı adresinin birden fazla çoklu imza cüzdanıyla ilişkili olduğunu öğrenmesinden sonra Salı sabahı erken saatlerde güvenlik açığından.
Küfür, bir zamanlar cüzdan adresleri oluşturmak için kullanılan en popüler araçlardan biriydi, ancak projeden vazgeçildi. temel güvenlik kusurları.
Son zamanlarda, küresel kripto piyasası üreticisi Wintermute geri çekildi $ 160 milyon Şüpheli bir Küfür hatası nedeniyle.
Soyadını vermeyen bir Supremacy Inc. geliştiricisi olan Zach, Blockworks'e Profanity tarafından oluşturulan adreslerin özel anahtarlar oluşturmak için zayıf rastgele sayılar kullandığı için saldırılara karşı savunmasız olduğunu söyledi.
Zach, Blockworks'e Salı günü Telegram aracılığıyla "Bu adresler zincir üzerinde işlem başlatırsa, istismarcılar işlemler yoluyla genel anahtarlarını kurtarabilir ve ardından açık anahtarlar üzerinde sürekli olarak çarpışmaları geri iterek özel anahtarları elde edebilirler" dedi.
“[Bu soruna] tek bir çözüm var, o da varlıkları transfer etmek ve cüzdan adresini hemen değiştirmek” dedi.
Olayı inceledikten sonra ParaSwap, hiçbir güvenlik açığı bulunmadığını söyledi ve Profanity'nin dağıtıcısını oluşturduğunu reddetti.
Dağıtıcıyı Profanity'nin oluşturmadığı doğru olsa da BlockSec'in kurucu ortağı Andy Zhou Blockworks'e ParaSwap'ın akıllı sözleşmesini oluşturan aracın hala Profanity güvenlik açığı riski altında olduğunu söyledi.
Zhou, "Adresi oluşturmak için savunmasız bir araç kullandıklarının farkında değillerdi" dedi. "Araç, özel anahtar adresini kırmayı mümkün kılan yeterli rastgeleliğe sahip değildi."
Güvenlik açığı bilgisi, BlockSec'in fonları kurtarmasına da yardımcı oldu. Bu, her ikisi de 1 Ekim'de saldırıya uğrayan DeFi protokolleri BabySwap ve TransitSwap için geçerliydi.
Zhou, "Fonları geri alıp protokollere iade edebildik" dedi.
BlockSec geliştiricileri, bazı saldırı işlemlerinin Profanity güvenlik açığına duyarlı bir bot tarafından önden çalıştırıldığını fark ettikten sonra, hırsızlardan etkili bir şekilde çalmayı başardılar.
Adres oluşturmak için etkili bir araç olarak popülaritesine rağmen, Profanity geliştiricisi uyardı Github'da cüzdan güvenliğinin çok önemli olduğunu. Geliştirici, "Kod herhangi bir güncelleme almayacak ve onu derlenemez bir durumda bıraktım" diye yazdı. “Başka bir şey kullan!”
Katılın DAS:LONDRA ve en büyük TradFi ve kripto kurumlarının kriptonun kurumsal benimsenmesinin geleceğini nasıl gördüğünü dinleyin. Kayıt ol .
Source: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/