- Безбедносне фирме су рано у уторак упозориле ПараСвап на рањивост
- Рањивост, у алату званом Профанити, искоришћена је да одвуче 160 милиона долара од глобалног произвођача криптовалута Винтермуте прошлог месеца
Компанија БлоцкСец потврдила је безбедносну инфраструктуру за блокчејн на Твиттер адреса деплоиер-а тог децентрализованог агрегатора размене ПараСвап била је рањива на оно што је постало познато као рањивост Профанити.
ПараСвап је био први упозорени рањивости у уторак рано ујутро након што је тим за безбедност екосистема Веб3 Супремаци Инц. сазнао да је адреса корисника повезана са вишеструким новчаницима са више потписа.
Вулгарност је некада била једна од најпопуларнијих алатки за генерисање адреса новчаника, али је пројекат напуштен због фундаменталне безбедносне пропусте.
Недавно је глобални произвођач криптовалута Винтермуте враћен $ КСНУМКС милиона због сумње на грешку за вулгарност.
Програмер компаније Супремаци Инц., Зацх — који није навео своје презиме — рекао је за Блоцкворкс да су адресе генерисане профанијом подложне хаковању јер користи слабе насумичне бројеве за генерисање приватних кључева.
„Ако ове адресе покрећу трансакције у ланцу, експлоататори могу повратити своје јавне кључеве путем трансакција, а затим добити приватне кључеве континуираним повратним колизијама на јавним кључевима“, рекао је Зек за Блоцкворкс преко Телеграма у уторак.
„Постоји једно и само једно решење [за овај проблем], а то је да се средства пренесу и одмах промени адреса новчаника“, рекао је он.
Након што је испитао инцидент, ПараСвап је рекао да нису пронађене рањивости и негирао је да је Профанити генерисао свој деплоиер.
Иако је тачно да Профанити није генерисао имплементатор, суоснивач БлоцкСец-а Енди Џоу рекао је за Блоцкворкс да је алатка која је генерисала ПараСвап паметни уговор и даље изложена ризику од рањивости Профанити.
„Нису схватили да су користили рањиви алат за генерисање адресе“, рекао је Џоу. „Алатка није имала довољно случајности што је омогућило пробијање адресе приватног кључа.“
Познавање рањивости је такође могло да помогне БлоцкСец-у да поврати средства. Ово је важило за ДеФи протоколе БабиСвап и ТранситСвап, који су нападнути 1. октобра.
„Успели смо да повратимо средства и вратимо их у протоколе“, рекао је Џоу.
Након што су приметили да је неке трансакције напада унапред водио бот подложан рањивости вулгарности, програмери БлоцкСец-а су успели да ефикасно краду од лопова.
Упркос својој популарности као ефикасног алата за генерисање адреса, програмер Профанити опоменут на Гитхуб-у да је безбедност новчаника најважнија. „Код неће примати никаква ажурирања, а ја сам га оставио у некомпатибилном стању“, написао је програмер. "Користите нешто друго!"
чека ДАС: ЛОНДОН и чујте како највеће ТрадФи и крипто институције виде будућност институционалног усвајања криптовалута. Регистровати овде.
Извор: хттпс://блоцкворкс.цо/тхе-буг-тхат-тоок-довн-винтермуте-ис-стилл-ат-ларге/