- ParaSwap gouf vun der Schwachstelle fréi Dënschdeg vu Sécherheetsfirmen alarméiert
- D'Schwachheet, an engem Tool genannt Profanity, gouf exploitéiert fir $ 160 Milliounen aus dem weltwäite Krypto-Maart Hiersteller Wintermute de leschte Mount ze drainéieren
Blockchain Sécherheet Infrastruktur Firma BlockSec bestätegt op Twitter datt den dezentraliséierten Austauschaggregator ParaSwap seng Deployeradress vulnerabel war fir wat als Profanity Schwachstelle bekannt gouf.
ParaSwap war éischt alarméiert vun der Schwachstelle fréi Dënschdeg de Moien no Web3 Ökosystem Sécherheetsteam Supremacy Inc.
Profanity war eemol ee vun de populäersten Tools fir Portemonnaieadressen ze generéieren, awer de Projet gouf opginn wéinst fundamental Sécherheet Mängel.
Zënter kuerzem gouf de weltwäite Krypto-Maart Hiersteller Wintermute zréckgesat $ 160 Milliounen wéinst engem verdächtege Profanity Käfer.
En Entwéckler vum Supremacy Inc., Zach - deen net säi Familljennumm uginn huet - sot zu Blockworks datt Profanity generéiert Adressen vulnerabel sinn fir Hacks well et schwaach zoufälleg Zuelen benotzt fir privat Schlësselen ze generéieren.
"Wann dës Adressen Transaktiounen op der Kette initiéieren, kënnen d'Exploitateuren hir ëffentlech Schlësselen duerch Transaktiounen erholen an dann déi privat Schlësselen kréien andeems se kontinuéierlech réckgängeg Kollisiounen op den ëffentleche Schlësselen erhalen", sot de Zach Blockworks iwwer Telegram en Dënschdeg.
"Et gëtt eng an nëmmen eng Léisung [zu dësem Problem], dat ass d'Verméigen ze transferéieren an d'Portemonnaie Adress direkt z'änneren," sot hien.
Nodeems Dir den Tëschefall gekuckt huet, huet ParaSwap gesot datt keng Schwachstelle fonnt goufen an ofgeleent datt Profanity säin Deployer generéiert huet.
Och wann et richteg ass datt Profanity den Deployer net generéiert huet, huet de BlockSec Matgrënner Andy Zhou dem Blockworks gesot datt d'Tool dat ParaSwap säi Smart Kontrakt generéiert huet nach ëmmer riskéiert vu Profanity Schwachstelle.
"Si hunn net gemierkt datt si e vulnerabel Tool benotzt hunn fir d'Adress ze generéieren," sot Zhou. "Den Tool hat net genuch Zoufall, wat et méiglech gemaach huet d'private Schlëssel Adress ze knacken."
Wësse vun der Schwachstelle konnt och hëllefen BlockSec Fongen ze recuperéieren. Dëst war wouer fir DeFi Protokoller BabySwap an TransitSwap, déi allebéid den 1. Oktober attackéiert goufen.
"Mir konnten d'Fongen zréckzéien an se an d'Protokoller zréckginn," sot Zhou.
Nodeems se bemierkt hunn datt e puer Attacke Transaktioune vun engem Bot ufälleg fir Profanity Schwachstelle waren, konnten d'BlockSec Entwéckler effektiv vun den Déif klauen.
Trotz senger Popularitéit als effizient Tool fir Adressen ze generéieren, ass den Entwéckler vu Profanity plangt op Github datt Portemonnaie Sécherheet wichteg ass. "De Code kritt keng Updates, an ech hunn et an engem onkompiléierbare Staat gelooss", huet den Entwéckler geschriwwen. "Benotzt soss eppes!"
Huelt un DAS: LONDON an héiert wéi déi gréissten TradFi a Krypto Institutiounen d'Zukunft vun der institutioneller Adoptioun vu Krypto gesinn. Aschreiwen hei.
Quell: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/