- ParaSwap fue alertado de la vulnerabilidad el martes temprano por las empresas de seguridad.
- La vulnerabilidad, en una herramienta llamada Profanity, fue explotada para drenar USD 160 millones del creador global de criptomercados Wintermute el mes pasado.
Se confirma la compañía de infraestructura de seguridad Blockchain BlockSec en Twitter que la dirección del implementador del agregador de intercambio descentralizado ParaSwap era vulnerable a lo que se conoce como la vulnerabilidad Blasfemia.
ParaSwap fue el primero alertada de la vulnerabilidad la madrugada del martes después de que el equipo de seguridad del ecosistema Web3, Supremacy Inc., supiera que la dirección del implementador estaba asociada con múltiples billeteras de firmas múltiples.
Blasfemia una vez fue una de las herramientas más populares utilizadas para generar direcciones de billetera, pero el proyecto fue abandonado debido a fallas fundamentales de seguridad.
Más recientemente, el creador global de criptomercados Wintermute sufrió un revés 160 millones de dólares debido a un presunto error de blasfemia.
Un desarrollador de Supremacy Inc., Zach, que no proporcionó su apellido, le dijo a Blockworks que las direcciones generadas por Profanity son vulnerables a los ataques porque utiliza números aleatorios débiles para generar claves privadas.
“Si estas direcciones inician transacciones en la cadena, los explotadores pueden recuperar sus claves públicas a través de transacciones y luego obtener las claves privadas mediante colisiones de retroceso continuo en las claves públicas”, dijo Zach a Blockworks a través de Telegram el martes.
“Hay una y solo una solución [a este problema], que es transferir los activos y cambiar la dirección de la billetera de inmediato”, dijo.
Después de investigar el incidente, ParaSwap dijo que no se encontraron vulnerabilidades y negó que Profanity haya generado su implementador.
Si bien es cierto que Profanity no generó el implementador, el cofundador de BlockSec, Andy Zhou, le dijo a Blockworks que la herramienta que generó el contrato inteligente de ParaSwap todavía estaba en riesgo de vulnerabilidad de Profanity.
“No se dieron cuenta de que usaron una herramienta vulnerable para generar la dirección”, dijo Zhou. "La herramienta no tenía suficiente aleatoriedad, lo que hizo posible descifrar la dirección de la clave privada".
El conocimiento de la vulnerabilidad también ha podido ayudar a BlockSec a recuperar fondos. Esto fue cierto para los protocolos DeFi BabySwap y TransitSwap, que fueron atacados el 1 de octubre.
“Pudimos recuperar los fondos y devolverlos a los protocolos”, dijo Zhou.
Después de notar que algunas transacciones de ataque habían sido ejecutadas por un bot susceptible a la vulnerabilidad Profanity, los desarrolladores de BlockSec pudieron robar de manera efectiva a los ladrones.
A pesar de su popularidad como herramienta eficiente para generar direcciones, el desarrollador de Profanity advirtió en Github, la seguridad de la billetera es primordial. “El código no recibirá ninguna actualización y lo dejé en un estado no compilable”, escribió el desarrollador. "¡Usa otra cosa!"
Asistir DAS:LONDRES y escuche cómo las mayores instituciones de TradFi y criptografía ven el futuro de la adopción institucional de criptografía. Registro haga clic aquí
Fuente: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/