Még mindig nagy a hiba, amely eltüntette a Wintermute-ot
- A ParaSwapot kedd hajnalban értesítették a biztonsági cégek a sebezhetőségről
- A Profanity nevű eszközben található sebezhetőséget kihasználva 160 millió dollárt vontak el a Wintermute globális kriptopiaci gyártótól a múlt hónapban.
A blokklánc biztonsági infrastruktúrával foglalkozó cég, a BlockSec megerősítette a Twitteren hogy a ParaSwap decentralizált adatcsere-aggregátorának telepítői címe sebezhető volt a Profanity sebezhetőség néven ismertté vált.
A ParaSwap volt az első riasztani A sebezhetőségről kedden kora reggel, miután a Web3 ökoszisztéma-biztonsági csapata, a Supremacy Inc. megtudta, hogy a telepítő címe több, több aláírást tartalmazó pénztárcához kapcsolódik.
A trágárkodás egykor az egyik legnépszerűbb eszköz volt a pénztárcacímek generálására, de a projektet félbehagyták alapvető biztonsági hibák.
Legutóbb a globális kriptopiaci gyártó, a Wintermute hátráltatott 160 millió $ egy feltételezett Profanity bug miatt.
A Supremacy Inc. fejlesztője, Zach – aki nem adta meg vezetéknevét – azt mondta a Blockworks-nek, hogy a Profanity által generált címek sebezhetőek a feltörésekkel szemben, mivel gyenge véletlenszámokat használnak a privát kulcsok generálásához.
"Ha ezek a címek tranzakciókat indítanak el a láncon, a kihasználók tranzakciókon keresztül visszaszerezhetik nyilvános kulcsaikat, majd a nyilvános kulcsokon történő folyamatos ütközés útján megszerezhetik a privát kulcsokat" - mondta Zach a Blockworksnek a Telegramon keresztül kedden.
„Egyetlen megoldás van [erre a problémára], mégpedig az eszközök átadása és a pénztárca címének azonnali megváltoztatása” – mondta.
Miután megvizsgálta az incidenst, a ParaSwap azt mondta, hogy nem találtak sebezhetőséget, és tagadta, hogy a Profanity hozta létre a telepítőjét.
Bár igaz, hogy a Profanity nem hozta létre a telepítőt, Andy Zhou, a BlockSec társalapítója azt mondta a Blockworks-nek, hogy a ParaSwap intelligens szerződését létrehozó eszköz továbbra is fennáll a Profanity sebezhetőségének kockázata.
"Nem vették észre, hogy egy sebezhető eszközt használtak a cím létrehozásához" - mondta Zhou. "Az eszköz nem volt elég véletlenszerű, ami lehetővé tette a privát kulcs címének feltörését."
A sérülékenység ismerete segítheti a BlockSec-et a pénzeszközök visszaszerzésében. Ez igaz volt a DeFi BabySwap és TransitSwap protokollokra, amelyeket október 1-jén támadtak meg.
„Le tudtuk szerezni az alapokat, és visszaadtuk a jegyzőkönyvbe” – mondta Zhou.
Miután észrevették, hogy egyes támadási tranzakciókat a Profanity sebezhetőségére érzékeny bot irányított, a BlockSec fejlesztői hatékonyan tudtak ellopni a tolvajokat.
Annak ellenére, hogy népszerűsége a címek generálásának hatékony eszköze, a Profanity fejlesztője figyelmeztetni a Githubon, hogy a pénztárca biztonsága a legfontosabb. "A kód nem fog frissítéseket kapni, és lefordíthatatlan állapotban hagytam" - írta a fejlesztő. – Használj mást!
Részt vesz DAS: LONDON és hallgassa meg, hogyan látják a legnagyobb TradFi és kriptointézetek a kriptográfia intézményi bevezetésének jövőjét. Regisztráció itt.
Iratkozzon fel napi hírlevelünkre
Ismerje meg a piacokat mindössze 5 perc alatt
Közelgő
esemény
Digital Asset Summit 2022 | London
DÁTUM
17. október 18-én és 2022-án, hétfőn és kedden
HELYSZÍN
A Royal Lancaster Hotel, London
Bővebben
Ami még érdekelhet
- Bitcoin
- blockchain
- blokklánc megfelelőség
- blockchain konferencia
- Blockworks
- coinbase
- coingenius
- megegyezés
- kriptokonferencia
- kriptikus bányászat
- cryptocurrency
- decentralizált
- Defi
- Digitális eszközök
- Ethereum
- csapkod
- gépi tanulás
- nem helyettesíthető token
- Cserélni
- Plató
- plato ai
- Platón adatintelligencia
- Platoblockchain
- PlatoData
- platogaming
- Poligon
- Trágárság-sebezhetőség
- a tét igazolása
- biztonság
- W3
- téli néma
- zephyrnet