- ParaSwap werd begin dinsdag op de hoogte gebracht van de kwetsbaarheid door beveiligingsbedrijven
- De kwetsbaarheid, in een tool genaamd Profanity, werd vorige maand misbruikt om $ 160 miljoen af te tappen van de wereldwijde cryptomarktmaker Wintermute.
Blockchain-beveiligingsinfrastructuurbedrijf BlockSec bevestigd op Twitter dat gedecentraliseerde uitwisselingsaggregator ParaSwap's deployment-adres kwetsbaar was voor wat bekend is geworden als de Profanity-kwetsbaarheid.
ParaSwap was de eerste gealarmeerd van de kwetsbaarheid dinsdagochtend vroeg nadat het Web3-ecosysteembeveiligingsteam Supremacy Inc. ontdekte dat het adres van de uitvoerder was gekoppeld aan meerdere portemonnees met meerdere handtekeningen.
Godslastering was ooit een van de meest populaire tools die werden gebruikt om portemonnee-adressen te genereren, maar het project werd stopgezet vanwege: fundamentele beveiligingsfouten.
Meest recentelijk werd de wereldwijde cryptomarktmaker Wintermute teruggezet $ 160 miljoen vanwege een vermoedelijke Profanity-bug.
Een ontwikkelaar van Supremacy Inc., Zach - die zijn achternaam niet heeft opgegeven - vertelde Blockworks dat door Profanity gegenereerde adressen kwetsbaar zijn voor hacks omdat het zwakke willekeurige getallen gebruikt om privésleutels te genereren.
"Als deze adressen transacties in de keten initiëren, kunnen uitbuiters hun openbare sleutels herstellen via transacties en vervolgens de privésleutels verkrijgen door voortdurend botsingen op de openbare sleutels te veroorzaken", vertelde Zach dinsdag aan Blockworks via Telegram.
"Er is maar één oplossing [voor dit probleem] en dat is om de activa over te dragen en het adres van de portemonnee onmiddellijk te wijzigen", zei hij.
Na het incident te hebben onderzocht, zei ParaSwap dat er geen kwetsbaarheden waren gevonden en ontkende het dat Profanity zijn ontwikkelaar had gegenereerd.
Hoewel het waar is dat Profanity de deployer niet heeft gegenereerd, vertelde Andy Zhou, mede-oprichter van BlockSec, Blockworks dat de tool die het slimme contract van ParaSwap heeft gegenereerd, nog steeds het risico loopt op een kwetsbaarheid voor Profanity.
"Ze wisten niet dat ze een kwetsbaar hulpmiddel gebruikten om het adres te genereren," zei Zhou. "De tool had niet genoeg willekeur waardoor het mogelijk was om het privésleuteladres te kraken."
Kennis van de kwetsbaarheid heeft BlockSec ook geholpen om geld terug te krijgen. Dit gold voor DeFi-protocollen BabySwap en TransitSwap, die beide op 1 oktober werden aangevallen.
"We waren in staat om het geld terug te halen en terug te sturen naar de protocollen", zei Zhou.
Nadat ze hadden opgemerkt dat sommige aanvalstransacties vooraf waren uitgevoerd door een bot die vatbaar was voor Godslastering, konden BlockSec-ontwikkelaars effectief van de dieven stelen.
Ondanks zijn populariteit als een efficiënt hulpmiddel voor het genereren van adressen, heeft de ontwikkelaar van Profanity gele kaart op Github is de beveiliging van de portemonnee van het grootste belang. "De code krijgt geen updates en ik heb hem in een niet-compileerbare staat gelaten", schreef de ontwikkelaar. “Gebruik iets anders!”
Bijwonen DAS:LONDEN en hoor hoe de grootste TradFi- en crypto-instellingen de toekomst zien van de institutionele acceptatie van crypto. Register hier.
Bron: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/