- Inalerto ang ParaSwap tungkol sa kahinaan noong unang bahagi ng Martes ng mga security firm
- Ang kahinaan, sa isang tool na tinatawag na Profanity, ay pinagsamantalahan upang maubos ang $160 milyon mula sa pandaigdigang crypto market maker na Wintermute noong nakaraang buwan
Kinumpirma ng kumpanya ng imprastraktura ng seguridad ng Blockchain na BlockSec sa Twitter na ang deployer address ng desentralisadong exchange aggregator na ParaSwap ay mahina sa kung ano ang naging kilala bilang kahinaan sa Pagmumura.
Nauna ang ParaSwap inalertuhan ng kahinaan noong Martes ng umaga matapos malaman ng Web3 ecosystem security team Supremacy Inc. na ang deployer address ay nauugnay sa maraming multi-signature na wallet.
Ang kabastusan ay isa sa mga pinakasikat na tool na ginamit upang makabuo ng mga address ng wallet, ngunit ang proyekto ay inabandona dahil sa pangunahing mga bahid ng seguridad.
Kamakailan lamang, ibinalik ang pandaigdigang crypto market maker na Wintermute $ 160 Milyon dahil sa isang hinihinalang Profanity bug.
Isang developer ng Supremacy Inc., si Zach — na hindi nagbigay ng kanyang apelyido — ay nagsabi sa Blockworks na ang mga address na nabuo ng kabastusan ay mahina sa mga hack dahil gumagamit ito ng mahinang random na mga numero upang bumuo ng mga pribadong key.
"Kung ang mga address na ito ay nagpasimula ng mga transaksyon sa chain, maaaring mabawi ng mga mapagsamantala ang kanilang mga pampublikong susi sa pamamagitan ng mga transaksyon at pagkatapos ay makuha ang mga pribadong susi sa pamamagitan ng patuloy na pag-back-propelling na banggaan sa mga pampublikong susi," sinabi ni Zach sa Blockworks sa pamamagitan ng Telegram noong Martes.
"May isa at isa lamang na solusyon [sa problemang ito], na ilipat ang mga ari-arian at palitan kaagad ang address ng wallet," sabi niya.
Matapos tingnan ang insidente, sinabi ng ParaSwap na walang nakitang mga kahinaan at itinanggi na ang Profanity ang bumuo ng deployer nito.
Bagama't totoo na hindi ginawa ng Profanity ang deployer, sinabi ng co-founder ng BlockSec na si Andy Zhou sa Blockworks na ang tool na bumuo ng matalinong kontrata ng ParaSwap ay nasa panganib pa rin ng kahinaan sa Profanity.
"Hindi nila napagtanto na gumamit sila ng isang madaling gamitin na tool upang mabuo ang address," sabi ni Zhou. "Walang sapat na randomness ang tool na naging posible na ma-crack ang pribadong key address."
Ang kaalaman sa kahinaan ay nakatulong din sa BlockSec na mabawi ang mga pondo. Totoo ito para sa mga DeFi protocol na BabySwap at TransitSwap, na parehong inatake noong Okt. 1.
"Nakuha namin ang mga pondo at ibalik ang mga ito sa mga protocol," sabi ni Zhou.
Matapos mapansin na ang ilang mga transaksyon sa pag-atake ay pinangunahan ng isang bot na madaling kapitan ng kahinaan sa Profanity, nagawa ng mga developer ng BlockSec na epektibong magnakaw mula sa mga magnanakaw.
Sa kabila ng katanyagan nito bilang isang mahusay na tool para sa pagbuo ng mga address, ang developer ng Profanity cautioned sa Github na ang seguridad ng wallet ay pinakamahalaga. "Ang code ay hindi makakatanggap ng anumang mga update, at iniwan ko ito sa isang uncompilable na estado," isinulat ng developer. "Gumamit ng iba!"
Dumalo DAS:LONDON at marinig kung paano nakikita ng pinakamalaking TradFi at mga institusyong crypto ang hinaharap ng pag-aampon ng institusyonal ng crypto. Magrehistro dito.
Pinagmulan: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/