- ParaSwap a été alerté de la vulnérabilité tôt mardi par des sociétés de sécurité
- La vulnérabilité, dans un outil appelé Profanity, a été exploitée pour drainer 160 millions de dollars du fabricant mondial de cryptomonnaies Wintermute le mois dernier
La société d'infrastructure de sécurité Blockchain confirmée BlockSec sur Twitter que l'adresse du déployeur de l'agrégateur d'échange décentralisé ParaSwap était vulnérable à ce qui est devenu connu sous le nom de vulnérabilité Profanity.
ParaSwap a été le premier alerté de la vulnérabilité tôt mardi matin après que l'équipe de sécurité de l'écosystème Web3 Supremacy Inc. a appris que l'adresse du déployeur était associée à plusieurs portefeuilles multi-signatures.
Le blasphème était autrefois l'un des outils les plus populaires utilisés pour générer des adresses de portefeuille, mais le projet a été abandonné en raison de failles de sécurité fondamentales.
Plus récemment, le fabricant mondial de crypto-marché Wintermute a été retardé 160 millions de dollars en raison d'un bogue présumé de blasphème.
Un développeur de Supremacy Inc., Zach - qui n'a pas fourni son nom de famille - a déclaré à Blockworks que les adresses générées par Profanity sont vulnérables aux piratages car il utilise des nombres aléatoires faibles pour générer des clés privées.
"Si ces adresses initient des transactions sur la chaîne, les exploiteurs peuvent récupérer leurs clés publiques par le biais de transactions, puis obtenir les clés privées en propulsant continuellement des collisions sur les clés publiques", a déclaré Zach à Blockworks via Telegram mardi.
"Il existe une et une seule solution [à ce problème], qui consiste à transférer les actifs et à changer immédiatement l'adresse du portefeuille", a-t-il déclaré.
Après avoir examiné l'incident, ParaSwap a déclaré qu'aucune vulnérabilité n'avait été trouvée et a nié que Profanity ait généré son déployeur.
Bien qu'il soit vrai que Profanity n'a pas généré le déployeur, le co-fondateur de BlockSec Andy Zhou a déclaré à Blockworks que l'outil qui a généré le contrat intelligent de ParaSwap était toujours à risque de vulnérabilité Profanity.
"Ils n'avaient pas réalisé qu'ils utilisaient un outil vulnérable pour générer l'adresse", a déclaré Zhou. "L'outil n'avait pas assez de caractère aléatoire, ce qui permettait de déchiffrer l'adresse de la clé privée."
La connaissance de la vulnérabilité a également été en mesure d'aider BlockSec à récupérer des fonds. Cela était vrai pour les protocoles DeFi BabySwap et TransitSwap, qui ont tous deux été attaqués le 1er octobre.
"Nous avons pu récupérer les fonds et les restituer aux protocoles", a déclaré Zhou.
Après avoir remarqué que certaines transactions d'attaque avaient été exécutées par un bot sensible à la vulnérabilité Profanity, les développeurs de BlockSec ont pu voler efficacement les voleurs.
Malgré sa popularité en tant qu'outil efficace pour générer des adresses, le développeur de Profanity garde sur Github que la sécurité du portefeuille est primordiale. "Le code ne recevra aucune mise à jour et je l'ai laissé dans un état non compilable", a écrit le développeur. "Utilisez autre chose !"
Participer DAS : LONDRES et découvrez comment les plus grandes institutions TradFi et crypto voient l'avenir de l'adoption institutionnelle de la crypto. S'inscrire ici.
Source : https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/