Το σφάλμα που κατέστρεψε το Wintermute είναι ακόμα σε μεγάλο βαθμό
- Η ParaSwap ειδοποιήθηκε για την ευπάθεια νωρίς την Τρίτη από εταιρείες ασφαλείας
- Η ευπάθεια, σε ένα εργαλείο που ονομάζεται Profanity, έγινε αντικείμενο εκμετάλλευσης για την αποστράγγιση 160 εκατομμυρίων δολαρίων από την παγκόσμια εταιρεία παραγωγής κρυπτονομισμάτων Wintermute τον περασμένο μήνα
Η εταιρεία υποδομής ασφάλειας Blockchain BlockSec επιβεβαίωσε στο Twitter ότι η διεύθυνση προγραμματιστή του αποκεντρωμένου συναθροιστή ανταλλαγής ParaSwap ήταν ευάλωτη σε αυτό που έγινε γνωστό ως ευπάθεια Βωμολοχίας.
Το ParaSwap ήταν πρώτο ειδοποιήθηκε της ευπάθειας νωρίς το πρωί της Τρίτης, αφού η ομάδα ασφαλείας οικοσυστήματος Web3 Supremacy Inc. έμαθε ότι η διεύθυνση του προγραμματιστή συσχετίστηκε με πολλά πορτοφόλια πολλαπλών υπογραφών.
Η βωμολοχία ήταν κάποτε ένα από τα πιο δημοφιλή εργαλεία που χρησιμοποιούνταν για τη δημιουργία διευθύνσεων πορτοφολιού, αλλά το έργο εγκαταλείφθηκε λόγω βασικά ελαττώματα ασφαλείας.
Πιο πρόσφατα, ο παγκόσμιος κατασκευαστής κρυπτονομισμάτων Wintermute έκανε πίσω $ 160 εκατομμύρια λόγω ενός ύποπτου σφάλματος Βωμολοχίας.
Ένας προγραμματιστής της Supremacy Inc., ο Zach - ο οποίος δεν έδωσε το επίθετό του - είπε στο Blockworks ότι οι διευθύνσεις που δημιουργούνται από το Profanity είναι ευάλωτες σε hacks επειδή χρησιμοποιεί αδύναμους τυχαίους αριθμούς για τη δημιουργία ιδιωτικών κλειδιών.
«Εάν αυτές οι διευθύνσεις ξεκινούν συναλλαγές στην αλυσίδα, οι εκμεταλλευτές μπορούν να ανακτήσουν τα δημόσια κλειδιά τους μέσω συναλλαγών και στη συνέχεια να αποκτήσουν τα ιδιωτικά κλειδιά με συνεχείς συγκρούσεις με αντίστροφη ώθηση στα δημόσια κλειδιά», είπε ο Ζακ στο Blockworks μέσω Telegram την Τρίτη.
«Υπάρχει μία και μοναδική λύση [σε αυτό το πρόβλημα], η οποία είναι η μεταφορά των περιουσιακών στοιχείων και η άμεση αλλαγή της διεύθυνσης του πορτοφολιού», είπε.
Αφού εξέτασε το περιστατικό, η ParaSwap είπε ότι δεν βρέθηκαν ευπάθειες και αρνήθηκε ότι το Profanity δημιούργησε τον προγραμματιστή του.
Αν και είναι αλήθεια ότι το Profanity δεν δημιούργησε τον προγραμματιστή, ο συνιδρυτής της BlockSec Andy Zhou είπε στο Blockworks ότι το εργαλείο που δημιούργησε το έξυπνο συμβόλαιο της ParaSwap εξακολουθούσε να κινδυνεύει από ευπάθεια στο Profanity.
«Δεν συνειδητοποίησαν ότι χρησιμοποίησαν ένα ευάλωτο εργαλείο για να δημιουργήσουν τη διεύθυνση», είπε ο Zhou. "Το εργαλείο δεν είχε αρκετή τυχαιότητα που κατέστησε δυνατή τη διάσπαση της διεύθυνσης του ιδιωτικού κλειδιού."
Η γνώση της ευπάθειας μπόρεσε επίσης να βοηθήσει το BlockSec να ανακτήσει χρήματα. Αυτό ίσχυε για τα πρωτόκολλα DeFi BabySwap και TransitSwap, τα οποία δέχθηκαν επίθεση και τα δύο την 1η Οκτωβρίου.
«Καταφέραμε να ανακτήσουμε τα κεφάλαια και να τα επιστρέψουμε στα πρωτόκολλα», είπε ο Zhou.
Αφού παρατήρησαν ότι ορισμένες συναλλαγές επίθεσης διεξήχθησαν από ένα ρομπότ με ευπάθεια στο Profanity, οι προγραμματιστές του BlockSec κατάφεραν να κλέψουν αποτελεσματικά από τους κλέφτες.
Παρά τη δημοτικότητά του ως αποτελεσματικού εργαλείου για τη δημιουργία διευθύνσεων, ο προγραμματιστής του Profanity προειδοποίησε στο Github ότι η ασφάλεια του πορτοφολιού είναι πρωταρχικής σημασίας. "Ο κώδικας δεν θα λάβει ενημερώσεις και τον έχω αφήσει σε μη μεταγλωττισμένη κατάσταση", έγραψε ο προγραμματιστής. «Χρησιμοποιήστε κάτι άλλο!»
περιμένει DAS: ΛΟΝΔΙΝΟ και ακούστε πώς βλέπουν τα μεγαλύτερα ιδρύματα TradFi και κρυπτογράφησης το μέλλον της θεσμικής υιοθέτησης της κρυπτογράφησης. Κανω ΕΓΓΡΑΦΗ εδώ.
Εγγραφείτε στο καθημερινό μας ενημερωτικό δελτίο
Κατανοήστε τις αγορές σε μόλις 5 λεπτά
Προσεχείς
Συμβάν
Digital Asset Summit 2022 | Λονδίνο
ΗΜΕΡΟΜΗΝΙΑ
Δευτέρα & Τρίτη 17 & 18 Οκτωβρίου 2022
ΤΟΠΟΘΕΣΙΑ
Ξενοδοχείο Royal Lancaster, Λονδίνο
Learn More
μπορεί να σου αρέσει επίσης
- Bitcoin
- blockchain
- συμμόρφωση με το blockchain
- blockchain συνέδριο
- Τεμάχια
- coinbase
- Coingenius
- Ομοφωνία
- crypto συνέδριο
- εξόρυξη κρυπτογράφησης
- cryptocurrency
- Αποκεντρωμένη
- Defi
- Ψηφιακά περιουσιακά στοιχεία
- ethereum
- σιδηροπρίονο
- μάθηση μηχανής
- μη εύφλεκτο διακριτικό
- Εναλλαγή ParaSwap
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Πλανοσάτσας
- Πλάτωνα δεδομένα
- platogaming
- Πολύγωνο
- Ευπάθεια στη βωμολοχία
- απόδειξη συμμετοχής
- ασφάλεια
- W3
- χειμωνιάτικο
- zephyrnet