- 安全公司週二早些時候向 ParaSwap 發出了該漏洞的警報
- 上個月,該漏洞在一個名為 Profanity 的工具中被利用,從全球加密貨幣做市商 Wintermute 那裡流失了 160 億美元。
區塊鏈安全基礎設施公司 BlockSec 確認 在Twitter 去中心化交易所聚合器 ParaSwap 的部署者地址容易受到所謂的褻瀆漏洞的影響。
ParaSwap 是第一個 驚動 在 Web3 生態系統安全團隊 Supremacy Inc. 獲悉部署者地址與多個多重簽名錢包相關聯後,週二凌晨,該漏洞被曝光。
褻瀆曾經是最流行的用於生成錢包地址的工具之一,但由於該項目被放棄了 基本安全漏洞.
最近,全球加密貨幣做市商 Wintermute 受挫 160億美元 由於可疑的褻瀆錯誤。
Supremacy Inc. 的開發人員 Zach(沒有提供他的姓氏)告訴 Blockworks,Profanity 生成的地址很容易受到黑客攻擊,因為它使用弱隨機數來生成私鑰。
“如果這些地址在鏈上發起交易,攻擊者可以通過交易恢復他們的公鑰,然後通過不斷反向推動公鑰上的衝突來獲取私鑰,”扎克週二通過 Telegram 告訴 Blockworks。
“[解決這個問題]只有一個且唯一的解決方案,即轉移資產並立即更改錢包地址,”他說。
在調查此事件後,ParaSwap 表示沒有發現漏洞,並否認 Profanity 生成了其部署程序。
儘管 Profanity 確實沒有生成部署程序,但 BlockSec 聯合創始人 Andy Zhou 告訴 Blockworks,生成 ParaSwap 智能合約的工具仍然存在 Profanity 漏洞的風險。
“他們沒有意識到他們使用了一個易受攻擊的工具來生成地址,”周說。 “該工具沒有足夠的隨機性,無法破解私鑰地址。”
對該漏洞的了解也能夠幫助 BlockSec 收回資金。 DeFi 協議 BabySwap 和 TransitSwap 就是如此,它們都在 1 月 XNUMX 日遭到攻擊。
“我們能夠取回資金並將其歸還給協議,”周說。
在註意到一些攻擊交易已由易受褻瀆漏洞影響的機器人預先運行後,BlockSec 開發人員能夠有效地從竊賊那裡竊取信息。
儘管它作為生成地址的有效工具而廣受歡迎,但 Profanity 的開發者 警告 在 Github 上,錢包安全至關重要。 “代碼不會收到任何更新,我將其置於不可編譯的狀態,”開發人員寫道。 “用別的東西!”
參加 DAS:倫敦 並聽聽最大的 TradFi 和加密機構如何看待加密機構採用的未來。 登記 並點選這裡。
資料來源:https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/