- ParaSwap è stato avvisato della vulnerabilità all'inizio di martedì dalle società di sicurezza
- La vulnerabilità, in uno strumento chiamato Profanity, è stata sfruttata per drenare $ 160 milioni dal produttore globale di criptovalute Wintermute il mese scorso
La società di infrastrutture di sicurezza blockchain BlockSec ha confermato su Twitter l'indirizzo del deployer dell'aggregatore di scambi decentralizzato ParaSwap era vulnerabile a quella che è diventata nota come vulnerabilità di Profanity.
ParaSwap è stato il primo allertato della vulnerabilità martedì mattina presto dopo che il team di sicurezza dell'ecosistema Web3 Supremacy Inc. ha appreso che l'indirizzo del distributore era associato a più portafogli multi-firma.
La parolaccia una volta era uno degli strumenti più popolari utilizzati per generare indirizzi di portafoglio, ma il progetto è stato abbandonato a causa di difetti di sicurezza fondamentali.
Più di recente, Wintermute, produttore di mercato globale delle criptovalute, è stato arretrato $160 milioni a causa di un sospetto bug di volgarità.
Uno sviluppatore di Supremacy Inc., Zach, che non ha fornito il suo cognome, ha detto a Blockworks che gli indirizzi generati da Profanity sono vulnerabili agli hack perché utilizza numeri casuali deboli per generare chiavi private.
"Se questi indirizzi avviano transazioni sulla catena, gli sfruttatori possono recuperare le loro chiavi pubbliche attraverso le transazioni e quindi ottenere le chiavi private spingendo continuamente all'indietro le collisioni sulle chiavi pubbliche", ha detto Zach a Blockworks tramite Telegram martedì.
"Esiste una e una sola soluzione [a questo problema], ovvero trasferire le risorse e cambiare immediatamente l'indirizzo del portafoglio", ha affermato.
Dopo aver esaminato l'incidente, ParaSwap ha affermato che non sono state rilevate vulnerabilità e ha negato che Profanity abbia generato il suo deployer.
Sebbene sia vero che Profanity non ha generato il deployer, il co-fondatore di BlockSec Andy Zhou ha detto a Blockworks che lo strumento che ha generato lo smart contract di ParaSwap era ancora a rischio di vulnerabilità di Profanity.
"Non si sono resi conto di aver utilizzato uno strumento vulnerabile per generare l'indirizzo", ha detto Zhou. "Lo strumento non aveva abbastanza casualità che ha permesso di decifrare l'indirizzo della chiave privata."
La conoscenza della vulnerabilità è stata anche in grado di aiutare BlockSec a recuperare i fondi. Questo era vero per i protocolli DeFi BabySwap e TransitSwap, che sono stati entrambi attaccati il 1° ottobre.
"Siamo stati in grado di recuperare i fondi e restituirli ai protocolli", ha detto Zhou.
Dopo aver notato che alcune transazioni di attacco erano state gestite in prima linea da un bot suscettibile alla vulnerabilità di Profanity, gli sviluppatori BlockSec sono stati in grado di rubare efficacemente ai ladri.
Nonostante la sua popolarità come strumento efficiente per la generazione di indirizzi, lo sviluppatore di Profanity ammonito su Github la sicurezza del portafoglio è fondamentale. "Il codice non riceverà alcun aggiornamento e l'ho lasciato in uno stato non compilabile", ha scritto lo sviluppatore. "Usa qualcos'altro!"
Partecipare DAS: LONDRA e ascolta come le più grandi istituzioni TradFi e criptovalute vedono il futuro dell'adozione istituzionale delle criptovalute. Registrati
Fonte: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/