- ParaSwap быў папярэджаны аб уразлівасці рана ў аўторак ахоўнымі фірмамі
- Уразлівасць у інструменце пад назвай Profanity была выкарыстана ў мінулым месяцы для выцягвання 160 мільёнаў долараў з сусветнага маркет-мэйкера Wintermute.
Кампанія інфраструктуры бяспекі блокчейна BlockSec пацвердзіла на Twitter што адрас разгортвання дэцэнтралізаванага абменнага агрэгатара ParaSwap быў уразлівы да таго, што стала вядома як уразлівасць нецэнзурнай лексікі.
ParaSwap быў першым насцярожыла уразлівасці рана раніцай у аўторак пасля таго, як каманда па бяспецы экасістэмы Web3 Supremacy Inc. даведалася, што адрас разгортвальніка звязаны з некалькімі кашалькамі з некалькімі подпісамі.
Калісьці ненарматыўная лексіка была адным з самых папулярных інструментаў для стварэння адрасоў кашалькоў, але праект быў закінуты з-за асноўныя недахопы бяспекі.
Зусім нядаўна глабальны вытворца крыптамаркетаў Wintermute быў спынены $ 160 мільёнаў з-за меркаванай памылкі ненарматыўнай лексікі.
Распрацоўшчык Supremacy Inc., Зак, які не назваў сваё прозвішча, сказаў Blockworks, што адрасы, згенераваныя ненарматыўнай мовай, уразлівыя да ўзлому, таму што для стварэння прыватных ключоў выкарыстоўваюцца слабыя выпадковыя лікі.
«Калі гэтыя адрасы ініцыююць транзакцыі ў ланцужку, эксплуататары могуць аднавіць свае адкрытыя ключы з дапамогай транзакцый, а затым атрымаць прыватныя ключы, бесперапынна вяртаючы сутыкненні адкрытых ключоў», — сказаў Зак Blockworks праз Telegram у аўторак.
«Ёсць адно і толькі адно рашэнне [гэтай праблемы], якое заключаецца ў неадкладнай перадачы актываў і змене адрасу кашалька», - сказаў ён.
Разгледзеўшы інцыдэнт, ParaSwap заявіла, што ніякіх уразлівасцяў не выяўлена, і адмаўляла, што Profanity стварыла праграму разгортвання.
Нягледзячы на тое, што Profanity не стварыў праграму разгортвання, гэта праўда, сузаснавальнік BlockSec Эндзі Чжоў сказаў Blockworks, што інструмент, які стварыў смарт-кантракт ParaSwap, па-ранейшаму знаходзіцца пад пагрозай уразлівасці да брыдкаслоўя.
«Яны не здагадваліся, што выкарыстоўвалі ўразлівы інструмент для стварэння адраса», — сказаў Чжоу. «Інструмент не меў дастатковай выпадковасці, што дазволіла ўзламаць адрас прыватнага ключа».
Веданне аб уразлівасці таксама дапамагло BlockSec вярнуць сродкі. Гэта было дакладна для пратаколаў DeFi BabySwap і TransitSwap, якія былі атакаваныя 1 кастрычніка.
«Мы змаглі вярнуць сродкі і вярнуць іх у пратаколы», — сказаў Чжоу.
Пасля таго, як распрацоўшчыкі BlockSec заўважылі, што некаторыя транзакцыі атакі кіраваліся ботам, уразлівым да нецэнзурнай лексікі, яны змаглі эфектыўна скрасці ў злодзеяў.
Нягледзячы на сваю папулярнасць як эфектыўнага інструмента для стварэння адрасоў, распрацоўшчык Profanity перасцярог на Github, што бяспека кашалька мае першараднае значэнне. «Код не будзе атрымліваць ніякіх абнаўленняў, і я пакінуў яго ў некампіляваным стане», — напісаў распрацоўшчык. «Выкарыстайце нешта іншае!»
чакае DAS: ЛОНДАН і пачуйце, як найбуйнейшыя TradFi і крыптаінстытуцыі бачаць будучыню ўкаранення крыпта ў інстытуцыях. Зарэгіструйцеся тут.
Крыніца: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/