- Turvafirmad hoiatasid ParaSwapi haavatavusest teisipäeva alguses
- Profanity-nimelise tööriista haavatavust kasutati eelmisel kuul ülemaailmselt krüptoturu tootjalt Wintermute 160 miljoni dollari äravooluks.
Blockchaini turbetaristu ettevõte BlockSec kinnitas puperdama detsentraliseeritud vahetusagregaatori ParaSwapi juurutajaaadress oli haavatav selle suhtes, mida hakati nimetama roppuste haavatavaks.
ParaSwap oli esimene hoiatada haavatavusest teisipäeva varahommikul pärast seda, kui Web3 ökosüsteemi turvameeskond Supremacy Inc. sai teada, et juurutaja aadress oli seotud mitme mitme allkirjaga rahakotiga.
Kunagi oli roppused üks populaarsemaid tööriistu rahakotiaadresside genereerimiseks, kuid projektist loobuti põhilised turvapuudused.
Viimati jäi globaalne krüptoturu tegija Wintermute tagasi $ 160 miljonit kahtlustatava roppusvea tõttu.
Supremacy Inc. arendaja Zach, kes ei avaldanud oma perekonnanime, ütles Blockworksile, et Profanity loodud aadressid on häkkimise suhtes haavatavad, kuna see kasutab privaatvõtmete genereerimiseks nõrku juhuslikke numbreid.
"Kui need aadressid algatavad ahelas tehinguid, saavad ärakasutajad oma avalikud võtmed tehingute kaudu taastada ja seejärel hankida privaatvõtmed, tuues pidevalt tagasi avalike võtmete kokkupõrkeid," ütles Zach teisipäeval Telegrami vahendusel Blockworksile.
"[Sellele probleemile] on üks ja ainus lahendus, milleks on varade üleandmine ja rahakoti aadressi viivitamatu muutmine," ütles ta.
Pärast juhtumi uurimist teatas ParaSwap, et haavatavusi ei leitud, ja eitas, et Profanity lõi selle juurutaja.
Kuigi on tõsi, et Profanity ei loonud juurutajat, ütles BlockSeci kaasasutaja Andy Zhou Blockworksile, et ParaSwapi nutika lepingu loonud tööriist oli endiselt Profanity haavatavuse ohus.
"Nad ei mõistnud, et kasutasid aadressi loomiseks haavatavat tööriista, " ütles Zhou. "Tööriistal ei olnud piisavalt juhuslikkust, mis võimaldas privaatvõtme aadressi murda."
Haavatavuse tundmine on samuti aidanud BlockSecil raha tagasi saada. See kehtis DeFi protokollide BabySwap ja TransitSwap kohta, mida mõlemat rünnati 1. oktoobril.
"Me suutsime raha kätte saada ja protokollidesse tagastada," ütles Zhou.
Pärast seda, kui BlockSeci arendajad märkasid, et mõnda ründetehingut juhtis robot, mis oli vastuvõtlik roppude haavatavusele, suutsid BlockSeci arendajad varaste käest tõhusalt varastada.
Hoolimata selle populaarsusest tõhusa vahendina aadresside loomiseks, on Profanity arendaja hoiatada Githubis on rahakoti turvalisus ülimalt tähtis. "Koodi ei saa värskendusi ja ma jätsin selle kompileerimata olekusse," kirjutas arendaja. "Kasutage midagi muud!"
ootab DAS: LONDON ja kuulake, kuidas suurimad TradFi ja krüptoasutused näevad krüpto institutsionaalse kasutuselevõtu tulevikku. Registreeri siin.
Allikas: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/