Zwei Blockchain-Sicherheitsunternehmen hatten behauptet, dass die Deployer-Adresse von ParaSwap anfällig für eine Pronaity-Schwachstelle sein könnte.
Multichain-DeFi-Aggregator ParaSwap hat Behauptungen entkräftet, dass es heute einen Exploit gab, und gesagt, dass die verdächtige Adresse nach dem Deployment keine Macht hatte.
✅ Keine Sicherheitslücke gefunden! Bitte überprüfen Sie die Fakten & Don’t Trust, Verify!
Wir folgen mit einer Analyse & einer Erklärung, was eine Verteileradresse ist und wie wir sichergestellt haben, dass sie überhaupt keine Macht haben! https://t.co/uQKVncMZof
– ParaSwap (@paraswap) Oktober 11, 2022
Supremacy schlug Alarm wegen Profanitätsschwäche
Das Blockchain-Sicherheitsunternehmen Supremacy Inc. behauptete, dass der private Schlüssel der Deployer-Adresse von Paraswap möglicherweise durch eine Profanity-Schwachstelle kompromittiert wurde, und fügte hinzu, dass „Gelder auf mehreren Ketten gestohlen wurden.“ Die Firma fuhr fort: „Die Adresse des Deployers ist mit mehreren Multi-Sign-Wallets verbunden.“
1/ Hallo @paraswap ,ich habe gehört, dass Sie das sehen wollen? Ihr privater Schlüssel der Deployer-Adresse wurde möglicherweise kompromittiert (möglicherweise aufgrund einer Profanity-Schwachstelle) und Gelder wurden auf mehreren Chains gestohlen.https://t.co/ijHaTwAj0l
– Supremacy Inc. (@Supremacy_CA) Oktober 11, 2022
Ein an die Tweets angehängter Etherscan-Link zeigte eine Überweisung von 0,4320 ETH (555,32 $) an eine andere Adresse mit der Bezeichnung QANplatform Bridge Exploiter 2.
Ein weiteres Blockchain-Sicherheitsunternehmen, BlockSec, bestätigte, dass die Adressen von ParaSwap und Curve Finance für die Profanity-Schwachstelle anfällig waren.
1/ Wir haben bestätigt, dass sowohl die Verteileradresse von @paraswap (0x490ce4616672e93b1c8f5e43aa80312fd73dee8c) als auch die Verteileradresse von @curve (0x07a3458ad662fbcdd4fca0b1b37be6a5b1bcd7ac) für die Profanity-Sicherheitslücke anfällig sind. Die privaten Schlüssel können wiederhergestellt werden. https://t.co/APRXSt1gJh
– BlockSec (@BlockSecTeam) Oktober 11, 2022
ParaSwap entkräftet Exploit-Behauptungen
ParaSwap’s Untersuchung von Supremacy ergab, dass es „keine Schwachstelle“ hat. Laut der DeFi-Plattform hat die Adresse „das Benzin bezahlt und ist in den Ruhestand gegangen“, und fügte hinzu, dass „Profanity-Adressen normalerweise Nullen am Ende haben“.
Das Unternehmen erklärte außerdem, dass es „eine Analyse & nachreichen werde; eine Erklärung, was eine Deployer-Adresse ist und wie wir sichergestellt haben, dass sie überhaupt keinen Strom haben!“
Curve Finance wiederholte die Aussage von ParaSwap und sagte: „Beides sind Wegwerf-Deployer, sie kontrollieren nichts. Es gibt also keinen Grund zur Sorge.“
Die schnelle Reaktion des ParaSwap-Teams auf die Situation wurde von der Krypto-Community gelobt:
Großartige Reaktion von @paraswap bezüglich der Sorge um einen möglichen Profanity-Exploit.
Schätzen Sie die schnellen Updates https://t.co/uwP2jYpTRm pic.twitter.com/FePteO75uC– CryptoCondom (@crypto_condom) Oktober 11, 2022
Profanity address vulnerability
Sehr viele Krypto-Projekte, die Vanity-Adressen verwenden, haben Millionen durch die Profanity-Schwachstelle verloren, seit sie im September von 1inch entdeckt wurde. Böswillige Akteure konnten die privaten Schlüssel aller mit Profanity generierten Vanity-Adressen auslesen.
Berichten zufolge haben böswillige Akteure die Sicherheitslücke genutzt, um mehrere Krypto-Projekte zu hacken. Der Krypto-Marktmacher Wintermute hat durch die Profanity-Adress-Schwachstelle über 160 Millionen Dollar verloren.