बग जो विंटरम्यूट को नीचे ले गया वह अभी भी बड़े स्तर पर है

ParaSwap को सुरक्षा फर्मों द्वारा मंगलवार तड़के भेद्यता के बारे में सतर्क किया गया था
पिछले महीने ग्लोबल क्रिप्टो मार्केट मेकर विंटरम्यूट से 160 मिलियन डॉलर निकालने के लिए प्रोफेनिटी नामक टूल में भेद्यता का फायदा उठाया गया था

ब्लॉकचैन सुरक्षा अवसंरचना कंपनी ब्लॉकसेक ने पुष्टि की चहचहाना पर कि विकेन्द्रीकृत एक्सचेंज एग्रीगेटर ParaSwap का डिप्लॉयर पता अपवित्रता भेद्यता के रूप में जाना जाने वाले के प्रति संवेदनशील था।

ParaSwap पहले था सतर्क कर दिया Web3 पारिस्थितिकी तंत्र सुरक्षा टीम वर्चस्व इंक. के बाद मंगलवार की सुबह भेद्यता के बारे में पता चला कि नियोक्ता का पता कई बहु-हस्ताक्षर वाले वॉलेट से जुड़ा था।

1 / हाय @ अपरस , मैंने सुना है कि आप इसे देखना चाहते हैं? आपके नियोक्ता के पते की निजी कुंजी से समझौता किया गया हो सकता है (संभवतः अपवित्रता की भेद्यता के कारण) और कई श्रृंखलाओं पर धन चोरी हो गया है।https://t.co/ijHaTwAj0l
- वर्चस्व इंक। (@Supremacy_CA) अक्टूबर 11

गाली-गलौज एक समय वॉलेट एड्रेस जेनरेट करने के लिए इस्तेमाल किए जाने वाले सबसे लोकप्रिय टूल में से एक था, लेकिन इस वजह से प्रोजेक्ट को छोड़ दिया गया बुनियादी सुरक्षा खामियां.

हाल ही में, वैश्विक क्रिप्टो बाजार निर्माता विंटरम्यूट को वापस सेट किया गया था 160 $ मिलियन एक संदिग्ध अपवित्रता बग के कारण।

एक वर्चस्व इंक डेवलपर, ज़ैच - जिसने अपना अंतिम नाम प्रदान नहीं किया - ने ब्लॉकवर्क्स को बताया कि अपवित्रता उत्पन्न पते हैक के लिए कमजोर हैं क्योंकि यह निजी कुंजी उत्पन्न करने के लिए कमजोर यादृच्छिक संख्याओं का उपयोग करता है।

"यदि ये पते श्रृंखला पर लेनदेन शुरू करते हैं, तो शोषक लेनदेन के माध्यम से अपनी सार्वजनिक कुंजी को पुनर्प्राप्त कर सकते हैं और फिर सार्वजनिक कुंजी पर लगातार बैक-प्रोपेलिंग टकराव द्वारा निजी कुंजी प्राप्त कर सकते हैं," जैच ने मंगलवार को टेलीग्राम के माध्यम से ब्लॉकवर्क्स को बताया।

"एक और केवल एक ही समाधान है [इस समस्या का], जो संपत्ति को स्थानांतरित करना और तुरंत बटुए का पता बदलना है," उन्होंने कहा।

घटना को देखने के बाद, ParaSwap ने कहा कि कोई भेद्यता नहीं पाई गई और इस बात से इनकार किया कि अपवित्रता ने इसके नियोक्ता को उत्पन्न किया।

हालांकि यह सच है कि प्रोफेनिटी ने डिप्लॉयर उत्पन्न नहीं किया, ब्लॉकसेक के सह-संस्थापक एंडी झोउ ने ब्लॉकवर्क्स को बताया कि पैरास्वैप के स्मार्ट कॉन्ट्रैक्ट को उत्पन्न करने वाले टूल में अभी भी अपवित्रता की भेद्यता का खतरा था।

"उन्हें नहीं पता था कि उन्होंने पता बनाने के लिए एक कमजोर उपकरण का इस्तेमाल किया," झोउ ने कहा। "उपकरण में पर्याप्त यादृच्छिकता नहीं थी जिससे निजी कुंजी पते को क्रैक करना संभव हो गया।"

भेद्यता का ज्ञान भी ब्लॉकसेक को धन की वसूली में मदद करने में सक्षम है। यह DeFi प्रोटोकॉल BabySwap और TransitSwap के लिए सही था, दोनों पर 1 अक्टूबर को हमला किया गया था।

"हम धन को पुनः प्राप्त करने और प्रोटोकॉल में उन्हें वापस करने में सक्षम थे," झोउ ने कहा।

यह देखने के बाद कि कुछ हमले के लेन-देन एक बॉट द्वारा अपवित्रता भेद्यता के लिए अतिसंवेदनशील थे, ब्लॉकसेक डेवलपर्स चोरों से प्रभावी ढंग से चोरी करने में सक्षम थे।

पतों को उत्पन्न करने के लिए एक कुशल उपकरण के रूप में इसकी लोकप्रियता के बावजूद, प्रोफेनिटी के डेवलपर आगाह Github पर वॉलेट की सुरक्षा सर्वोपरि है। "कोड को कोई अपडेट प्राप्त नहीं होगा, और मैंने इसे एक असंगत स्थिति में छोड़ दिया है," डेवलपर ने लिखा। "कुछ और प्रयोग करें!"

में भाग लेने के दास: लंदन और सुनें कि कैसे सबसे बड़े ट्रेडफाई और क्रिप्टो संस्थान क्रिप्टो के संस्थागत अपनाने के भविष्य को देखते हैं। पंजीकरण करवाना को यहाँ से डाउनलोड कर सकते हैं।

बेस्सी लियू
नाकाबंदी
रिपोर्टर
बेसी न्यूयॉर्क स्थित एक क्रिप्टो रिपोर्टर हैं, जिन्होंने पहले द ऑर्ग के लिए एक तकनीकी पत्रकार के रूप में काम किया था। उन्होंने दो साल से अधिक समय तक प्रबंधन सलाहकार के रूप में काम करने के बाद न्यूयॉर्क विश्वविद्यालय में पत्रकारिता में अपनी मास्टर डिग्री पूरी की। बेस्सी मूल रूप से ऑस्ट्रेलिया के मेलबर्न की रहने वाली हैं।
आप Bessie से संपर्क कर सकते हैं [ईमेल संरक्षित]

स्रोत: https://blockworks.co/the-bug-that-took-down-wintermute-is-still-at-large/