O inseto que derrubou Wintermute ainda está à solta
- O ParaSwap foi alertado sobre a vulnerabilidade na terça-feira por empresas de segurança
- A vulnerabilidade, em uma ferramenta chamada Profanity, foi explorada para drenar US$ 160 milhões da fabricante de mercado global de criptomoedas Wintermute no mês passado.
Empresa de infraestrutura de segurança Blockchain BlockSec confirmada no Twitter o endereço do implantador do agregador de troca descentralizado ParaSwap estava vulnerável ao que ficou conhecido como vulnerabilidade Profanity.
ParaSwap foi o primeiro alertado da vulnerabilidade na manhã de terça-feira, depois que a equipe de segurança do ecossistema Web3 Supremacy Inc. descobriu que o endereço do implantador estava associado a várias carteiras com várias assinaturas.
Profanidade já foi uma das ferramentas mais populares usadas para gerar endereços de carteira, mas o projeto foi abandonado devido a falhas fundamentais de segurança.
Mais recentemente, a fabricante de mercado global de criptomoedas Wintermute foi revertida $ 160 milhões devido a um bug de profanidade suspeito.
Um desenvolvedor da Supremacy Inc., Zach - que não forneceu seu sobrenome - disse à Blockworks que os endereços gerados pelo Profanity são vulneráveis a hacks porque usam números aleatórios fracos para gerar chaves privadas.
“Se esses endereços iniciarem transações na cadeia, os exploradores podem recuperar suas chaves públicas por meio de transações e obter as chaves privadas por colisões de retropropulsão contínua nas chaves públicas”, disse Zach à Blockworks via Telegram na terça-feira.
“Existe uma e apenas uma solução [para esse problema], que é transferir os ativos e alterar o endereço da carteira imediatamente”, disse ele.
Depois de analisar o incidente, o ParaSwap disse que nenhuma vulnerabilidade foi encontrada e negou que o Profanity tenha gerado seu implantador.
Embora seja verdade que o Profanity não gerou o implantador, o cofundador da BlockSec, Andy Zhou, disse à Blockworks que a ferramenta que gerou o contrato inteligente do ParaSwap ainda estava em risco de vulnerabilidade do Profanity.
“Eles não perceberam que usaram uma ferramenta vulnerável para gerar o endereço”, disse Zhou. “A ferramenta não tinha aleatoriedade suficiente, o que possibilitou quebrar o endereço da chave privada.”
O conhecimento da vulnerabilidade também ajudou a BlockSec a recuperar fundos. Isso foi verdade para os protocolos DeFi BabySwap e TransitSwap, que foram atacados em 1º de outubro.
“Conseguimos recuperar os fundos e devolvê-los aos protocolos”, disse Zhou.
Depois de perceber que algumas transações de ataque foram executadas por um bot suscetível à vulnerabilidade Profanity, os desenvolvedores do BlockSec conseguiram efetivamente roubar dos ladrões.
Apesar de sua popularidade como ferramenta eficiente para geração de endereços, o desenvolvedor do Profanity advertiram no Github que a segurança da carteira é primordial. “O código não receberá nenhuma atualização e eu o deixei em um estado não compilável”, escreveu o desenvolvedor. “Use outra coisa!”
Assistir DAS: LONDRES e ouça como as maiores instituições de TradFi e criptomoedas veem o futuro da adoção institucional da criptomoeda. Registro Aqui.
Assine nosso boletim diário
Entenda os mercados em apenas 5 minutos
Próximas
Evento
Cúpula de Ativos Digitais 2022 | Londres
INFORMAÇÃO
Segunda e terça-feira, 17 e 18 de outubro de 2022
LOCALIZAÇÃO
The Royal Lancaster Hotel, Londres
Saber Mais
Você também pode gostar
- Bitcoin
- blockchain
- conformidade do blockchain
- conferência blockchain
- blocos
- coinbase
- Coingenius
- Consenso
- conferência de criptografia
- crypto mining
- criptomoedas
- Descentralizada
- DeFi
- Ativos Digitais
- ethereum
- cortar
- aprendizado de máquina
- token não fungível
- ParaSwap
- platão
- platão ai
- Inteligência de Dados Platão
- Platoblockchain
- PlatãoData
- jogo de platô
- Polygon
- Vulnerabilidade de palavrões
- prova de participação
- segurança
- W3
- inverno mudo
- zefirnet