- 安全公司周二早些时候向 ParaSwap 发出了该漏洞的警报
- 上个月,该漏洞在一个名为 Profanity 的工具中被利用,从全球加密货币做市商 Wintermute 那里流失了 160 亿美元。
区块链安全基础设施公司 BlockSec 确认 Twitter 去中心化交易所聚合器 ParaSwap 的部署者地址容易受到所谓的亵渎漏洞的影响。
ParaSwap 是第一个 惊动 在 Web3 生态系统安全团队 Supremacy Inc. 获悉部署者地址与多个多重签名钱包相关联后,周二凌晨,该漏洞被曝光。
亵渎曾经是最流行的用于生成钱包地址的工具之一,但由于该项目被放弃了 基本安全漏洞.
最近,全球加密货币做市商 Wintermute 受挫 160 百万美元 由于可疑的亵渎错误。
Supremacy Inc. 的开发人员 Zach(没有提供他的姓氏)告诉 Blockworks,Profanity 生成的地址很容易受到黑客攻击,因为它使用弱随机数来生成私钥。
“如果这些地址在链上发起交易,攻击者可以通过交易恢复他们的公钥,然后通过不断反向推动公钥上的冲突来获取私钥,”扎克周二通过 Telegram 告诉 Blockworks。
“[解决这个问题]只有一个且唯一的解决方案,即转移资产并立即更改钱包地址,”他说。
在调查此事件后,ParaSwap 表示没有发现漏洞,并否认 Profanity 生成了其部署程序。
尽管 Profanity 确实没有生成部署程序,但 BlockSec 联合创始人 Andy Zhou 告诉 Blockworks,生成 ParaSwap 智能合约的工具仍然存在 Profanity 漏洞的风险。
“他们没有意识到他们使用了一个易受攻击的工具来生成地址,”周说。 “该工具没有足够的随机性,无法破解私钥地址。”
对该漏洞的了解也能够帮助 BlockSec 收回资金。 DeFi 协议 BabySwap 和 TransitSwap 就是如此,它们都在 1 月 XNUMX 日遭到攻击。
“我们能够取回资金并将其归还给协议,”周说。
在注意到一些攻击交易已由易受亵渎漏洞影响的机器人预先运行后,BlockSec 开发人员能够有效地从窃贼那里窃取信息。
尽管它作为生成地址的有效工具而广受欢迎,但 Profanity 的开发者 警告 在 Github 上,钱包安全至关重要。 “代码不会收到任何更新,我将其置于不可编译的状态,”开发人员写道。 “用别的东西!”
参加 DAS:伦敦 并听听最大的 TradFi 和加密机构如何看待加密机构采用的未来。 登记 点击此处。
资料来源:https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/