- ParaSwap은 화요일 초 보안 회사로부터 취약점에 대해 경고를 받았습니다.
- Profanity라는 도구의 취약점은 지난 달 글로벌 암호화 시장 제조업체 Wintermute로부터 160억 XNUMX천만 달러를 빼내기 위해 악용되었습니다.
블록체인 보안 인프라 업체 블록섹 확인 Twitter에서 분산형 교환 수집기 ParaSwap의 배포자 주소는 욕설 취약점으로 알려진 것에 취약했습니다.
ParaSwap이 처음이었습니다. 경고 Web3 생태계 보안 팀인 Supremacy Inc.가 배포자 주소가 여러 다중 서명 지갑과 연결되어 있음을 알게 된 후 화요일 아침 일찍 취약점에 대한 정보를 제공했습니다.
욕설은 한때 지갑 주소를 생성하는 데 사용되는 가장 인기 있는 도구 중 하나였으나 다음과 같은 이유로 프로젝트가 중단되었습니다. 근본적인 보안 결함.
가장 최근에 글로벌 암호화폐 마켓 메이커 Wintermute가 취소되었습니다. $ 160 만 의심되는 욕설 버그로 인해.
이름을 밝히지 않은 Supremacy Inc. 개발자 Zach는 Blockworks에 Profanity에서 생성한 주소는 약한 난수를 사용하여 개인 키를 생성하기 때문에 해킹에 취약하다고 말했습니다.
Zach는 화요일 Telegram을 통해 Blockworks에 "이 주소가 체인에서 트랜잭션을 시작하면 익스플로잇은 트랜잭션을 통해 공개 키를 복구한 다음 공개 키에 대한 충돌을 지속적으로 역추진하여 개인 키를 얻을 수 있습니다."라고 말했습니다.
그는 “[이 문제에 대한] 해결책은 자산을 이전하고 즉시 지갑 주소를 변경하는 것”이라고 말했다.
사건을 조사한 후 ParaSwap은 취약점이 발견되지 않았으며 Profanity가 배포자를 생성했다고 부인했습니다.
Profanity가 배포자를 생성하지 않은 것은 사실이지만 BlockSec의 공동 설립자인 Andy Zhou는 ParaSwap의 스마트 계약을 생성한 도구가 여전히 Profanity 취약성의 위험에 있다고 Blockworks에 말했습니다.
Zhou는 "취약한 도구를 사용하여 주소를 생성한다는 사실을 깨닫지 못했습니다."라고 말했습니다. "이 도구에는 개인 키 주소를 해독할 수 있는 충분한 임의성이 없었습니다."
취약점에 대한 지식은 BlockSec이 자금을 회수하는 데도 도움이 되었습니다. 이는 1월 XNUMX일에 둘 다 공격을 받은 DeFi 프로토콜인 BabySwap과 TransitSwap에 해당되었습니다.
Zhou는 "자금을 회수하여 프로토콜에 반환할 수 있었습니다."라고 말했습니다.
일부 공격 트랜잭션이 Profanity 취약점에 취약한 봇에 의해 전면 실행되었음을 알게 된 후 BlockSec 개발자는 도둑으로부터 효과적으로 훔칠 수 있었습니다.
주소 생성을 위한 효율적인 도구로서의 인기에도 불구하고 Profanity의 개발자는 경고 Github에서는 지갑 보안이 가장 중요합니다. 개발자는 "코드는 업데이트를 수신하지 않으며 컴파일할 수 없는 상태로 두었습니다."라고 썼습니다. "다른 것을 사용하십시오!"
참석 다스:런던 그리고 가장 큰 TradFi 및 암호화 기관이 암호화 기관 채택의 미래를 어떻게 보는지 들어보십시오. 등록하다 여기를 클릭해 문의해주세요.
출처: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/