- ParaSwap u njoftua për dobësinë herët të martën nga firmat e sigurisë
- Dobësia, në një mjet të quajtur Profanity, u shfrytëzua për të shpenzuar 160 milionë dollarë nga prodhuesi i tregut global të kriptove Wintermute muajin e kaluar.
Kompania e infrastrukturës së sigurisë Blockchain BlockSec konfirmoi në Twitter adresa e shpërndarësit të grumbulluesit të decentralizuar të shkëmbimeve, ParaSwap, ishte e cenueshme ndaj asaj që njihet si dobësia e profanitetit.
ParaSwap ishte i pari alarmuar i dobësisë herët në mëngjesin e së martës, pasi ekipi i sigurisë së ekosistemit Web3 Supremacy Inc. mësoi se adresa e shpërndarësit ishte e lidhur me kuleta të shumta me shumë nënshkrime.
Fshehtësia dikur ishte një nga mjetet më të njohura të përdorura për të gjeneruar adresat e portofolit, por projekti u braktis për shkak të të metat themelore të sigurisë.
Së fundmi, prodhuesi global i tregut të kriptove, Wintermute, u rikthye $ 160 milion për shkak të një gabimi të dyshuar të profanitetit.
Një zhvillues i Supremacy Inc., Zach - i cili nuk dha mbiemrin e tij - i tha Blockworks se adresat e krijuara nga Profanity janë të cenueshme ndaj hakimeve sepse përdor numra të dobët të rastësishëm për të gjeneruar çelësa privatë.
“Nëse këto adresa iniciojnë transaksione në zinxhir, shfrytëzuesit mund të rikuperojnë çelësat e tyre publikë përmes transaksioneve dhe më pas të marrin çelësat privatë duke bërë përplasje të vazhdueshme prapa në çelësat publikë,” tha Zach për Blockworks përmes Telegram të martën.
“Ekziston një dhe vetëm një zgjidhje [për këtë problem], që është transferimi i aseteve dhe ndërrimi i adresës së portofolit menjëherë,” tha ai.
Pas shqyrtimit të incidentit, ParaSwap tha se nuk u gjetën dobësi dhe mohoi që Profanity kishte krijuar dislokuesin e tij.
Edhe pse është e vërtetë që Profanity nuk e krijoi vendosësin, bashkëthemeluesi i BlockSec, Andy Zhou i tha Blockworks se mjeti që gjeneroi kontratën inteligjente të ParaSwap ishte ende në rrezik të cenueshmërisë së Profanity.
"Ata nuk e kuptuan se përdorën një mjet të cenueshëm për të gjeneruar adresën," tha Zhou. "Mjeti nuk kishte rastësi të mjaftueshme, gjë që bëri të mundur thyerjen e adresës së çelësit privat."
Njohja e dobësisë ka qenë gjithashtu në gjendje të ndihmojë BlockSec të rikuperojë fondet. Kjo ishte e vërtetë për protokollet DeFi BabySwap dhe TransitSwap, të cilat të dyja u sulmuan më 1 tetor.
"Ne ishim në gjendje t'i merrnim fondet dhe t'i kthenim ato në protokolle," tha Zhou.
Pasi vunë re se disa transaksione sulmesh ishin drejtuar nga një bot i ndjeshëm ndaj cenueshmërisë së Profanity, zhvilluesit e BlockSec ishin në gjendje të vidhnin në mënyrë efektive nga hajdutët.
Pavarësisht popullaritetit të tij si një mjet efikas për gjenerimin e adresave, zhvilluesi i Profanity paralajmëroi në Github se siguria e portofolit është parësore. "Kodi nuk do të marrë asnjë përditësim dhe unë e kam lënë atë në një gjendje të pakompilueshme," shkroi zhvilluesi. "Përdor diçka tjetër!"
pret DAS: LONDËR dhe dëgjoni sesi institucionet më të mëdha të TradFi dhe kriptove e shohin të ardhmen e adoptimit institucional të kriptove. Regjistrohu këtu.
Burimi: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/