- ParaSwap larmades om sårbarheten tidigt på tisdagen av säkerhetsföretag
- Sårbarheten, i ett verktyg som heter svordomar, utnyttjades för att tappa 160 miljoner dollar från den globala kryptomarknadstillverkaren Wintermute förra månaden
Blockchain-säkerhetsinfrastrukturföretaget BlockSec bekräftade på Twitter att decentraliserade utbytesaggregatorn ParaSwaps deployeradress var sårbar för vad som har blivit känt som svorbarheten.
ParaSwap var först larmas av sårbarheten tidigt på tisdagsmorgonen efter att Web3-ekosystemsäkerhetsteamet Supremacy Inc. fick veta att deployer-adressen var associerad med flera flersignaturplånböcker.
Svordomar var en gång ett av de mest populära verktygen som användes för att generera plånboksadresser, men projektet övergavs p.g.a. grundläggande säkerhetsbrister.
Senast fick den globala kryptomarknadstillverkaren Wintermute tillbaka $ 160 miljoner på grund av en misstänkt svordomsbugg.
En utvecklare av Supremacy Inc., Zach – som inte angav sitt efternamn – berättade för Blockworks att svordomsgenererade adresser är sårbara för hacks eftersom de använder svaga slumptal för att generera privata nycklar.
"Om dessa adresser initierar transaktioner i kedjan, kan exploatörer återställa sina offentliga nycklar genom transaktioner och sedan få de privata nycklarna genom att kontinuerligt driva tillbaka kollisioner på de offentliga nycklarna", sa Zach till Blockworks via Telegram på tisdagen.
"Det finns en och bara en lösning [på det här problemet], som är att överföra tillgångarna och ändra plånboksadressen omedelbart," sa han.
Efter att ha tittat på händelsen sa ParaSwap att inga sårbarheter hittades och förnekade att svordomar skapade sin deployer.
Även om det är sant att svordomar inte genererade deployern, sa BlockSecs medgrundare Andy Zhou till Blockworks att verktyget som genererade ParaSwaps smarta kontrakt fortfarande löpte risk för sårbarhet i svordomar.
"De insåg inte att de använde ett sårbart verktyg för att generera adressen," sa Zhou. "Verktyget hade inte tillräckligt med slumpmässighet som gjorde det möjligt att knäcka den privata nyckeladressen."
Kunskapen om sårbarheten har också kunnat hjälpa BlockSec att återvinna medel. Detta gällde för DeFi-protokollen BabySwap och TransitSwap, som båda attackerades den 1 oktober.
"Vi kunde hämta medlen och återföra dem till protokollen," sa Zhou.
Efter att ha märkt att vissa attacktransaktioner hade körts i förväg av en bot som var mottaglig för svorbarhet, kunde BlockSec-utvecklare effektivt stjäla från tjuvarna.
Trots sin popularitet som ett effektivt verktyg för att generera adresser, utvecklaren av svordomar varnade på Github är plånbokssäkerhet av största vikt. "Koden kommer inte att få några uppdateringar, och jag har lämnat den i ett okompilerbart tillstånd", skrev utvecklaren. "Använd något annat!"
Delta i DAS: LONDON och hör hur de största TradFi- och kryptoinstitutionerna ser på framtiden för kryptos institutionella adoption. Registrera här.
Källa: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/