- تم تنبيه ParaSwap من الضعف في وقت مبكر يوم الثلاثاء من قبل شركات الأمن
- تم استغلال الثغرة الأمنية ، في أداة تسمى "البذاءة" ، لاستنزاف 160 مليون دولار من صانع سوق العملات المشفرة العالمي وينترموت الشهر الماضي
أكدت شركة BlockSec للبنية التحتية الأمنية Blockchain على التغريد كان عنوان الناشر ParaSwap لتجميع التبادل اللامركزي عرضة لما أصبح يُعرف بالثغرة الأمنية البذيئة.
كان ParaSwap الأول نبهت الثغرة الأمنية في وقت مبكر من صباح يوم الثلاثاء بعد أن علم فريق أمان النظام البيئي Web3 Supremacy Inc. أن عنوان الناشر كان مرتبطًا بمحافظ متعددة التوقيعات.
كانت الألفاظ النابية ذات مرة واحدة من أكثر الأدوات شيوعًا المستخدمة لإنشاء عناوين المحفظة ، ولكن تم التخلي عن المشروع بسبب عيوب أمنية أساسية.
في الآونة الأخيرة ، تراجعت شركة وينترموت ، صانع السوق العالمي للعملات المشفرة 160 مليون دولار بسبب خطأ الألفاظ النابية المشتبه به.
قال مطور شركة Supremacy Inc. ، زاك - الذي لم يقدم اسمه الأخير - لـ Blockworks أن العناوين التي تم إنشاؤها بواسطة الألفاظ النابية معرضة للاختراق لأنها تستخدم أرقامًا عشوائية ضعيفة لإنشاء مفاتيح خاصة.
قال زاك لـ Blockworks عبر Telegram يوم الثلاثاء: "إذا بدأت هذه العناوين معاملات على السلسلة ، فيمكن للمستغلين استعادة مفاتيحهم العامة من خلال المعاملات ومن ثم الحصول على المفاتيح الخاصة عن طريق التصادم الخلفي المستمر على المفاتيح العامة".
وقال "هناك حل واحد فقط [لهذه المشكلة] ، وهو نقل الأصول وتغيير عنوان المحفظة على الفور".
بعد النظر في الحادث ، قال ParaSwap أنه لم يتم العثور على ثغرات أمنية ونفى أن تكون الألفاظ النابية قد ولّدت أداة نشرها.
على الرغم من حقيقة أن الألفاظ النابية لم تولد الناشر ، أخبر المؤسس المشارك لـ BlockSec آندي تشو Blockworks أن الأداة التي أنتجت عقد ParaSwap الذكي لا تزال معرضة لخطر ضعف الألفاظ النابية.
قال تشو: "لم يدركوا أنهم استخدموا أداة ضعيفة لإنشاء العنوان". "لم يكن للأداة ما يكفي من العشوائية مما جعل من الممكن كسر عنوان المفتاح الخاص."
تمكنت معرفة الثغرة الأمنية أيضًا من مساعدة BlockSec على استرداد الأموال. كان هذا صحيحًا بالنسبة لبروتوكولات DeFi BabySwap و TransitSwap ، والتي تعرضت للهجوم في 1 أكتوبر.
قال تشو: "تمكنا من استرداد الأموال وإعادتها إلى البروتوكولات".
بعد ملاحظة أن بعض معاملات الهجوم قد تم تشغيلها من قبل روبوت معرَّض لثغرة الألفاظ النابية ، تمكن مطورو BlockSec من السرقة بشكل فعال من اللصوص.
على الرغم من شعبيتها كأداة فعالة لتوليد العناوين ، فإن مطور الألفاظ النابية حذر على Github أن أمان المحفظة أمر بالغ الأهمية. كتب المطور: "لن يتلقى الكود أي تحديثات ، وقد تركته في حالة غير قابلة للجمع". "استخدم شيئًا آخر!"
حضور DAS: لندن واستمع إلى كيف ترى أكبر مؤسسات TradFi والتشفير مستقبل تبني مؤسسات التشفير. يسجل هنا.
المصدر: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/