Վինտերմուտի վրիպակը դեռևս մեծ է

Blockchain անվտանգության ենթակառուցվածքային ընկերությունը հաստատել է BlockSec on Twitter որ ապակենտրոնացված փոխանակման ագրեգատորի ParaSwap-ի տեղակայողի հասցեն խոցելի էր այն բանի համար, որը հայտնի դարձավ որպես Հայհոյանքի խոցելիություն:

ParaSwap-ն առաջինն էր ահազանգել Երեքշաբթի վաղ առավոտյան այն խոցելիության մասին, երբ Web3 էկոհամակարգի անվտանգության թիմը Supremacy Inc.-ն իմացավ, որ տեղակայողի հասցեն կապված է բազմաթիվ ստորագրությունների դրամապանակների հետ:

Հայհոյանքը ժամանակին ամենահայտնի գործիքներից մեկն էր, որն օգտագործվում էր դրամապանակի հասցեներ ստեղծելու համար, սակայն նախագիծը լքվեց, քանի որ անվտանգության հիմնարար թերություններ. 

Բոլորովին վերջերս կրիպտո-շուկայի համաշխարհային արտադրող Wintermute-ը հետ կանգնեց $ 160 միլիոն Հայհոյանքի կասկածելի սխալի պատճառով:

Supremacy Inc.-ի ծրագրավորող Զաքը, ով չի նշել իր ազգանունը, ասել է Blockworks-ին, որ Profanity-ի ստեղծած հասցեները խոցելի են հակերների համար, քանի որ այն օգտագործում է թույլ պատահական թվեր մասնավոր բանալիներ ստեղծելու համար:

«Եթե այս հասցեները գործարքներ են նախաձեռնում շղթայում, ապա շահագործողները կարող են վերականգնել իրենց հանրային բանալիները գործարքների միջոցով, իսկ հետո ստանալ մասնավոր բանալիները՝ շարունակաբար բախումներով հանրային բանալիների վրա», - ասաց Զաքը Blockworks-ին երեքշաբթի Telegram-ի միջոցով:

«Կա միայն մեկ լուծում [այս խնդրի], այն է՝ փոխանցել ակտիվները և անմիջապես փոխել դրամապանակի հասցեն»,- ասաց նա։

Միջադեպը ուսումնասիրելուց հետո ParaSwap-ն ասաց, որ ոչ մի խոցելիություն չի հայտնաբերվել և հերքեց, որ Profanity-ն ստեղծել է իր տեղադրողը:

Թեև ճիշտ է, որ Profanity-ն չի ստեղծել տեղադրողը, BlockSec-ի համահիմնադիր Էնդի Չժուն ասել է Blockworks-ին, որ գործիքը, որը ստեղծել է ParaSwap-ի խելացի պայմանագիրը, դեռևս վտանգված է Profanity խոցելիության վտանգի տակ:

«Նրանք չեն հասկացել, որ օգտագործել են խոցելի գործիք՝ հասցե ստեղծելու համար», - ասաց Չժուն: «Գործիքը չուներ բավականաչափ պատահականություն, ինչը հնարավորություն տվեց կոտրել մասնավոր բանալու հասցեն»:

Խոցելիության մասին իմացությունը կարողացել է նաև օգնել BlockSec-ին վերականգնել միջոցները: Սա ճիշտ էր DeFi արձանագրությունների համար՝ BabySwap և TransitSwap, որոնք երկուսն էլ հարձակման ենթարկվեցին հոկտեմբերի 1-ին:

«Մենք կարողացանք հետ վերցնել միջոցները և դրանք վերադարձնել արձանագրություններին», - ասաց Չժուն:

Նկատելով, որ որոշ հարձակման գործարքներ իրականացվել են բոտի կողմից, որը ենթակա է Profanity խոցելիության, BlockSec մշակողները կարողացան արդյունավետորեն գողանալ գողերից:

Չնայած իր հանրաճանաչությանը որպես հասցեներ ստեղծելու արդյունավետ գործիք, Profanity-ի մշակողը ստացավ Github-ում, որ դրամապանակի անվտանգությունն առաջնային է: «Կոդը թարմացումներ չի ստանա, և ես այն թողել եմ անհամադրելի վիճակում»,- գրել է մշակողը: «Ուրիշ բան օգտագործեք»:

Այցելեք DAS: ԼՈՆԴՈՆ և լսեք, թե ինչպես են խոշորագույն TradFi և կրիպտո հաստատությունները տեսնում կրիպտոյի ինստիտուցիոնալ որդեգրման ապագան: Գրանցվել Մականուն: