- ParaSwap は、火曜日の早朝にセキュリティ会社から脆弱性について警告を受けました。
- Profanity と呼ばれるツールの脆弱性が悪用され、先月、世界的な仮想通貨マーケット メーカーの Wintermute から 160 億 XNUMX 万ドルが流出しました。
ブロックチェーン セキュリティ インフラストラクチャ企業 BlockSec が確認されました Twitterで その分散型交換アグリゲーター ParaSwap のデプロイヤー アドレスは、冒涜的脆弱性として知られるようになったものに対して脆弱でした。
パラスワップは初めて 警告 火曜日の早朝、Web3 エコシステムのセキュリティ チームである Supremacy Inc. が、デプロイヤーのアドレスが複数のマルチ署名ウォレットに関連付けられていることを知った後、この脆弱性を発見しました。
冒とく的な表現は、かつてウォレットアドレスを生成するために使用される最も人気のあるツールのXNUMXつでしたが、プロジェクトは放棄されました. 基本的なセキュリティの欠陥.
最近では、グローバルな暗号市場メーカーの Wintermute が後退しました 160万ドル 冒とく的なバグの疑いがあるためです。
Supremacy Inc. の開発者である Zach (彼の名字は明かさなかった) は Blockworks に、Profanity が生成したアドレスは弱い乱数を使用して秘密鍵を生成するため、ハッキングに対して脆弱であると語った。
「これらのアドレスがチェーン上でトランザクションを開始した場合、悪用者はトランザクションを通じて公開鍵を回復し、公開鍵の衝突を継続的に逆推進することで秘密鍵を取得できます」と Zach 氏は火曜日に Telegram 経由で Blockworks に語った。
「(この問題に対する)唯一の解決策は、資産を譲渡し、ウォレットのアドレスをすぐに変更することです」と彼は言いました。
インシデントを調査した後、ParaSwap は、脆弱性は見つからなかったと述べ、Profanity がデプロイヤーを生成したことを否定しました。
Profanity がデプロイヤーを生成しなかったのは事実ですが、BlockSec の共同創設者である Andy Zhou は Blockworks に、ParaSwap のスマート コントラクトを生成したツールには依然として Profanity の脆弱性があると語っています。
「彼らは脆弱なツールを使ってアドレスを生成したことに気づいていませんでした」と Zhou 氏は言います。 「ツールには十分なランダム性がなかったため、秘密鍵のアドレスを解読できませんでした。」
脆弱性の知識は、BlockSec が資金を回収するのにも役立ちました。 これは、1 月 XNUMX 日に攻撃された DeFi プロトコルの BabySwap と TransitSwap にも当てはまりました。
「資金を回収し、プロトコルに戻すことができました」とZhou氏は述べています。
一部の攻撃トランザクションが冒涜的な脆弱性の影響を受けやすいボットによって実行されていたことに気付いた後、BlockSec の開発者は、泥棒から効果的に盗むことができました。
アドレスを生成するための効率的なツールとして人気があるにもかかわらず、Profanity の開発者は 警告 Github では、ウォレットのセキュリティが最優先事項です。 「コードは更新を受け取らず、コンパイルできない状態のままにしました」と開発者は書いています。 「他のものを使おう!」
参加要項 DAS:ロンドン また、最大の TradFi および仮想通貨機関が仮想通貨の制度的採用の将来をどのように見ているかを聞いてください。 登録 ページ をご覧ください
ソース: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/