- ParaSwap wurde am frühen Dienstag von Sicherheitsfirmen auf die Schwachstelle aufmerksam gemacht
- Die Schwachstelle in einem Tool namens Profanity wurde ausgenutzt, um letzten Monat 160 Millionen Dollar vom globalen Krypto-Marktmacher Wintermute abzuziehen
Blockchain-Sicherheitsinfrastrukturunternehmen BlockSec bestätigt auf Twitter Die Deployer-Adresse des dezentralen Austauschaggregators ParaSwap war anfällig für die sogenannte Profanity-Schwachstelle.
ParaSwap war der erste alarmiert der Schwachstelle am frühen Dienstagmorgen, nachdem das Sicherheitsteam des Web3-Ökosystems, Supremacy Inc., erfahren hatte, dass die Deployer-Adresse mit mehreren Multi-Signatur-Wallets verknüpft war.
Profanity war einst eines der beliebtesten Tools zum Generieren von Wallet-Adressen, aber das Projekt wurde aufgrund von aufgegeben grundlegende Sicherheitsmängel.
Zuletzt wurde der globale Krypto-Marktmacher Wintermute zurückgeworfen 160 Mio. US$ aufgrund eines mutmaßlichen Profanity-Bugs.
Ein Entwickler von Supremacy Inc., Zach – der seinen Nachnamen nicht preisgab – sagte Blockworks, dass von Profanity generierte Adressen anfällig für Hacks sind, da sie schwache Zufallszahlen verwenden, um private Schlüssel zu generieren.
„Wenn diese Adressen Transaktionen in der Kette initiieren, können Exploiter ihre öffentlichen Schlüssel durch Transaktionen wiederherstellen und dann die privaten Schlüssel erhalten, indem sie kontinuierlich Kollisionen mit den öffentlichen Schlüsseln zurücktreiben“, sagte Zach am Dienstag über Telegram zu Blockworks.
„Es gibt eine und nur eine Lösung [für dieses Problem], nämlich die Vermögenswerte zu übertragen und die Wallet-Adresse sofort zu ändern“, sagte er.
Nach der Untersuchung des Vorfalls sagte ParaSwap, dass keine Schwachstellen gefunden wurden, und bestritt, dass Profanity seinen Deployer generiert habe.
Obwohl es stimmt, dass Profanity den Deployer nicht generiert hat, sagte BlockSec-Mitbegründer Andy Zhou zu Blockworks, dass das Tool, das den Smart Contract von ParaSwap generiert hat, immer noch dem Risiko einer Profanity-Schwachstelle ausgesetzt sei.
„Sie wussten nicht, dass sie ein angreifbares Tool verwendet haben, um die Adresse zu generieren“, sagte Zhou. „Das Tool hatte nicht genug Zufälligkeit, um die Adresse des privaten Schlüssels zu knacken.“
Die Kenntnis der Schwachstelle konnte BlockSec auch dabei helfen, Gelder zurückzugewinnen. Dies galt für die DeFi-Protokolle BabySwap und TransitSwap, die beide am 1. Oktober angegriffen wurden.
„Wir konnten die Gelder abrufen und an die Protokolle zurückgeben“, sagte Zhou.
Nachdem sie bemerkten, dass einige Angriffstransaktionen von einem Bot ausgeführt wurden, der für die Profanity-Schwachstelle anfällig war, konnten die BlockSec-Entwickler die Diebe effektiv stehlen.
Trotz seiner Popularität als effizientes Tool zur Generierung von Adressen haben die Entwickler von Profanity verwarnt auf Github, dass die Wallet-Sicherheit von größter Bedeutung ist. „Der Code wird keine Updates erhalten, und ich habe ihn in einem nicht kompilierbaren Zustand belassen“, schrieb der Entwickler. "Verwenden Sie etwas anderes!"
Teilnehmen DAS: LONDON und erfahren Sie, wie die größten TradFi- und Krypto-Institutionen die Zukunft der institutionellen Einführung von Krypto sehen. Registrieren .
Quelle: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/