แมลงที่ทำลาย Wintermute ยังคงมีขนาดใหญ่

ParaSwap ได้รับการแจ้งเตือนถึงช่องโหว่เมื่อต้นวันอังคารโดยบริษัทรักษาความปลอดภัย
ช่องโหว่ในเครื่องมือที่เรียกว่า Profanity ถูกใช้เพื่อระบายเงิน 160 ล้านดอลลาร์จาก Wintermute ผู้ดูแลตลาดคริปโตทั่วโลกเมื่อเดือนที่แล้ว

บริษัทโครงสร้างพื้นฐานด้านความปลอดภัยของบล็อคเชน BlockSec ยืนยันแล้ว บน Twitter ที่อยู่ Deployer ของ Deployer ของ ParaSwap ที่รวบรวมการแลกเปลี่ยนแบบกระจายอำนาจนั้นมีความเสี่ยงต่อสิ่งที่เรียกว่าช่องโหว่ที่หยาบคาย

ParaSwap เป็นอันดับแรก การแจ้งเตือน ของช่องโหว่ในช่วงเช้าของวันอังคารหลังจากที่ทีมรักษาความปลอดภัยของระบบนิเวศ Web3 Supremacy Inc. ได้เรียนรู้ว่าที่อยู่ของผู้ปรับใช้มีความเกี่ยวข้องกับกระเป๋าเงินหลายลายเซ็น

1/ สวัสดี @paraswap ,ฉันได้ยินมาว่าคุณต้องการดูสิ่งนี้? คีย์ส่วนตัวที่อยู่ผู้ปรับใช้ของคุณอาจถูกบุกรุก (อาจเป็นเพราะช่องโหว่ที่หยาบคาย) และเงินถูกขโมยในหลายเครือข่ายhttps://t.co/ijHaTwAj0l
— สุพรีมาซีอิงค์ (@supremacy_CA) ตุลาคม 11, 2022

ความหยาบคายครั้งหนึ่งเคยเป็นหนึ่งในเครื่องมือที่นิยมใช้มากที่สุดในการสร้างที่อยู่กระเป๋าเงิน แต่โปรเจ็กต์ถูกยกเลิกเนื่องจาก ข้อบกพร่องด้านความปลอดภัยขั้นพื้นฐาน.

ล่าสุด Wintermute ผู้ดูแลตลาด crypto ระดับโลก ถูกตั้งค่ากลับ $ 160 ล้าน เนื่องจากสงสัยว่ามีข้อบกพร่องที่หยาบคาย

Zach ผู้พัฒนา Supremacy Inc. ซึ่งไม่ได้ให้นามสกุลบอกกับ Blockworks ว่าที่อยู่ที่สร้างโดยคำหยาบคายนั้นเสี่ยงต่อการถูกแฮ็กเนื่องจากใช้ตัวเลขสุ่มที่ไม่รัดกุมเพื่อสร้างคีย์ส่วนตัว

“หากที่อยู่เหล่านี้เริ่มต้นธุรกรรมบนเชน ผู้โจมตีสามารถกู้คืนคีย์สาธารณะของพวกเขาผ่านธุรกรรม แล้วรับคีย์ส่วนตัวโดยการขับเคลื่อนการชนกันของคีย์สาธารณะอย่างต่อเนื่อง” แซคบอกกับ Blockworks ผ่าน Telegram เมื่อวันอังคาร

“มีทางออกเดียว [สำหรับปัญหานี้] คือการโอนสินทรัพย์และเปลี่ยนที่อยู่กระเป๋าเงินทันที” เขากล่าว

หลังจากตรวจสอบเหตุการณ์แล้ว ParaSwap กล่าวว่าไม่พบช่องโหว่ใด ๆ และปฏิเสธว่าความหยาบคายสร้างตัวปรับใช้

แม้ว่าจะเป็นความจริงที่คำหยาบคายไม่ได้สร้างตัวปรับใช้ แต่ Andy Zhou ผู้ร่วมก่อตั้ง BlockSec บอกกับ Blockworks ว่าเครื่องมือที่สร้างสัญญาอัจฉริยะของ ParaSwap ยังคงมีความเสี่ยงต่อช่องโหว่ที่หยาบคาย

“พวกเขาไม่ทราบว่าพวกเขาใช้เครื่องมือที่มีช่องโหว่เพื่อสร้างที่อยู่” โจวกล่าว “เครื่องมือนี้ไม่มีการสุ่มเพียงพอซึ่งทำให้สามารถถอดรหัสที่อยู่คีย์ส่วนตัวได้”

ความรู้เกี่ยวกับช่องโหว่นี้ยังสามารถช่วยให้ BlockSec กู้คืนเงินได้อีกด้วย นี่เป็นความจริงสำหรับโปรโตคอล DeFi BabySwap และ TransitSwap ซึ่งทั้งคู่ถูกโจมตีเมื่อวันที่ 1 ต.ค.

“เราสามารถดึงเงินและคืนมันให้กับโปรโตคอลได้” โจวกล่าว

หลังจากสังเกตเห็นว่าธุรกรรมการโจมตีบางอย่างถูกบอทที่อ่อนแอต่อช่องโหว่ที่หยาบคาย นักพัฒนาของ BlockSec สามารถขโมยจากโจรได้อย่างมีประสิทธิภาพ

แม้จะได้รับความนิยมในฐานะเครื่องมือที่มีประสิทธิภาพในการสร้างที่อยู่ แต่ผู้พัฒนา Profanity เตือน บน Github ความปลอดภัยของกระเป๋าเงินเป็นสิ่งสำคัญยิ่ง “รหัสจะไม่ได้รับการอัปเดตใด ๆ และฉันปล่อยให้มันอยู่ในสถานะที่ไม่สามารถคอมไพล์ได้” นักพัฒนาเขียน “ใช้อย่างอื่น!”

รอ DAS:ลอนดอน และฟังว่าสถาบัน TradFi และ crypto ที่ใหญ่ที่สุดมองเห็นอนาคตของการยอมรับสถาบันของ crypto อย่างไร ลงทะเบียน ที่นี่

เบสซี่หลิว
งานบล็อค
ผู้สื่อข่าว
Bessie เป็นนักข่าว crypto จากนิวยอร์ก ซึ่งเคยทำงานเป็นนักข่าวเทคโนโลยีของ The Org เธอสำเร็จการศึกษาระดับปริญญาโทด้านวารสารศาสตร์ที่มหาวิทยาลัยนิวยอร์กหลังจากทำงานเป็นที่ปรึกษาด้านการจัดการมานานกว่าสองปี Bessie มีพื้นเพมาจากเมลเบิร์น ประเทศออสเตรเลีย
คุณสามารถติดต่อเบสซี่ได้ที่ [ป้องกันอีเมล]

ที่มา: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/