- ParaSwap diberitahu tentang kerentanan Selasa pagi oleh perusahaan keamanan
- Kerentanan, dalam alat yang disebut Profanity, dieksploitasi untuk menguras $ 160 juta dari pembuat pasar crypto global Wintermute bulan lalu
Perusahaan infrastruktur keamanan Blockchain BlockSec dikonfirmasi di Twitter bahwa aggregator pertukaran terdesentralisasi alamat penyebar ParaSwap rentan terhadap apa yang dikenal sebagai kerentanan Profanity.
ParaSwap adalah yang pertama disiagakan kerentanan Selasa pagi setelah tim keamanan ekosistem Web3 Supremacy Inc. mengetahui bahwa alamat penyebar dikaitkan dengan beberapa dompet multi-tanda tangan.
Kata-kata kotor pernah menjadi salah satu alat paling populer yang digunakan untuk menghasilkan alamat dompet, tetapi proyek tersebut ditinggalkan karena kelemahan keamanan mendasar.
Baru-baru ini, pembuat pasar crypto global Wintermute mundur $ 160 juta karena diduga ada bug yang tidak senonoh.
Pengembang Supremacy Inc., Zach — yang tidak memberikan nama belakangnya — mengatakan kepada Blockworks bahwa alamat yang dihasilkan oleh Profanity rentan terhadap peretasan karena menggunakan nomor acak yang lemah untuk menghasilkan kunci pribadi.
“Jika alamat-alamat ini memulai transaksi pada rantai, pengeksploitasi dapat memulihkan kunci publik mereka melalui transaksi dan kemudian mendapatkan kunci pribadi dengan terus-menerus mendorong kembali tabrakan pada kunci publik,” kata Zach kepada Blockworks melalui Telegram pada hari Selasa.
“Ada satu-satunya solusi [untuk masalah ini], yaitu mentransfer aset dan segera mengubah alamat dompet,” katanya.
Setelah melihat insiden tersebut, ParaSwap mengatakan bahwa tidak ada kerentanan yang ditemukan dan menyangkal bahwa Profanity menghasilkan penyebarnya.
Meskipun benar bahwa Profanity tidak menghasilkan penggelar, salah satu pendiri BlockSec Andy Zhou mengatakan kepada Blockworks bahwa alat yang menghasilkan kontrak pintar ParaSwap masih berisiko kerentanan Profanity.
"Mereka tidak menyadari bahwa mereka menggunakan alat yang rentan untuk menghasilkan alamat," kata Zhou. “Alat tidak memiliki cukup keacakan yang memungkinkan untuk memecahkan alamat kunci pribadi.”
Pengetahuan tentang kerentanan juga dapat membantu BlockSec memulihkan dana. Ini berlaku untuk protokol DeFi BabySwap dan TransitSwap, yang keduanya diserang pada 1 Oktober.
“Kami dapat mengambil dana dan mengembalikannya ke protokol,” kata Zhou.
Setelah memperhatikan bahwa beberapa transaksi serangan telah dijalankan di depan oleh bot yang rentan terhadap kerentanan Profanity, pengembang BlockSec dapat mencuri secara efektif dari para pencuri.
Terlepas dari popularitasnya sebagai alat yang efisien untuk menghasilkan alamat, pengembang Profanity memperingatkan di Github bahwa keamanan dompet adalah yang terpenting. "Kode tidak akan menerima pembaruan apa pun, dan saya membiarkannya dalam keadaan tidak dapat dikompilasi," tulis pengembang. “Gunakan yang lain!”
Menghadiri DAS: LONDON dan dengarkan bagaimana institusi TradFi dan kripto terbesar melihat masa depan adopsi institusional kripto. Daftar sini.
Sumber: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/