הבאג שהפיל את Wintermute עדיין חופשי

ParaSwap קיבלה התראה על הפגיעות ביום שלישי מוקדם על ידי חברות אבטחה
הפגיעות, בכלי בשם גסויות, נוצלה כדי לנקז 160 מיליון דולר מיצרנית שוק הקריפטו העולמית Wintermute בחודש שעבר

חברת תשתיות האבטחה BlockSec אישרה בטוויטר שכתובת הפריסה של צובר החליפין המבוזר ParaSwap הייתה פגיעה למה שמכונה פגיעות הלשון הרע.

ParaSwap היה הראשון התראה של הפגיעות בשעות הבוקר המוקדמות של יום שלישי לאחר שצוות האבטחה של מערכת האקולוגית של Web3, Supremacy Inc., נודע שכתובת המפיסה קשורה למספר ארנקים מרובי חתימות.

1 / היי @ paraswap ,שמעתי שאתה רוצה לראות את זה? ייתכן שהמפתח הפרטי של כתובת המפיסה שלך נפרץ (ייתכן בגלל פגיעות ניבולי פה) וכספים נגנבו במספר רשתות.https://t.co/ijHaTwAj0l
- Supremacy Inc. (@Supremacy_CA) אוקטובר 11, 2022

ניבול פה היה פעם אחד הכלים הפופולריים ביותר ששימשו ליצירת כתובות ארנק, אבל הפרויקט נזנח בגלל ליקויי אבטחה בסיסיים.

לאחרונה, יצרנית שוק הקריפטו העולמית Wintermute נסוגה לאחור $ 160 מיליון עקב חשד לבאג ניבולי פה.

מפתח Supremacy Inc., Zach - שלא סיפק את שם משפחתו - אמר ל-Blockworks שכתובות שנוצרו על ידי ניבול פה פגיעות לפריצות מכיוון שהיא משתמשת במספרים אקראיים חלשים כדי ליצור מפתחות פרטיים.

"אם הכתובות הללו יוזמות עסקאות בשרשרת, המנצלים יכולים לשחזר את המפתחות הציבוריים שלהם באמצעות עסקאות ולאחר מכן להשיג את המפתחות הפרטיים על ידי התנגשויות מתמשכות לאחור במפתחות הציבוריים", אמר זאק ל-Blockworks באמצעות טלגרם ביום שלישי.

"יש פתרון אחד ויחיד [לבעיה זו], שהוא להעביר את הנכסים ולשנות את כתובת הארנק באופן מיידי", אמר.

לאחר שבדק את התקרית, ParaSwap אמר שלא נמצאו פגיעויות והכחיש ש-Profanity יצר את הפריסה שלה.

למרות שזה נכון ש-Profanity לא יצר את הפריסה, אנדי ג'ואו, מייסד שותף של BlockSec, אמר ל-Blockworks שהכלי שיצר את החוזה החכם של ParaSwap עדיין נמצא בסיכון לפגיעות של גנאי.

"הם לא הבינו שהם השתמשו בכלי פגיע כדי ליצור את הכתובת", אמר ג'ואו. "לכלי לא הייתה מספיק אקראיות שאפשרה לפצח את כתובת המפתח הפרטי".

הידע על הפגיעות הצליח גם לעזור ל-BlockSec לשחזר כספים. זה היה נכון לפרוטוקולי DeFi BabySwap ו-TransitSwap, שניהם הותקפו ב-1 באוקטובר.

"הצלחנו לאחזר את הכספים ולהחזיר אותם לפרוטוקולים", אמר ג'ואו.

לאחר שהבחינו שכמה עסקאות תקיפה הופעלו על ידי בוט הרגיש לפגיעות של ניבול פה, מפתחי BlockSec הצליחו לגנוב ביעילות מהגנבים.

למרות הפופולריות שלו ככלי יעיל ליצירת כתובות, מפתח השפה הפה הזהיר ב-Github שאבטחת הארנק היא חשיבות עליונה. "הקוד לא יקבל עדכונים, והשארתי אותו במצב לא ניתן להידור", כתב המפתח. "תשתמש במשהו אחר!"

השתתף DAS: לונדון ושמע כיצד המוסדות הגדולים ביותר של TradFi וקריפטו רואים את עתיד האימוץ המוסדי של קריפטו. הירשם כאן.

בסי ליו
חסימות
כתב
בסי היא כתבת קריפטו מניו יורק שעבדה בעבר כעיתונאית טכנולוגית בארגון The Org. היא השלימה את התואר השני בעיתונאות באוניברסיטת ניו יורק לאחר שעבדה כיועצת ניהול במשך יותר משנתיים. בסי היא במקור ממלבורן, אוסטרליה.
אתה יכול ליצור קשר עם בסי ב [מוגן בדוא"ל]

מקור: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/