Deux sociétés spécialisées dans la sécurité des blockchains avaient déclaré que l’adresse de déploiement de Paraswap pouvait être sensible à une vulnérabilité de pronaité.
L’agrégateur Multichain DeFi, ParaSwap, a démenti les allégations selon lesquelles il aurait été victime d’un exploit aujourd’hui, en affirmant que l’adresse suspecte n’avait aucun pouvoir après le déploiement.
✅ Aucune vulnérabilité trouvée ! Veuillez vérifier les faits & ; Ne faites pas confiance, vérifiez !
Nous suivrons avec une analyse & ; une explication de ce qu’est une adresse de déploiement et comment nous nous sommes assurés qu’ils n’ont aucun pouvoir du tout ! https://t.co/uQKVncMZof
– ParaSwap (@paraswap) October 11, 2022
Supremacy a tiré la sonnette d’alarme sur la vulnérabilité du langage blasphématoire
La société de sécurité blockchain Supremacy Inc. a affirmé que la clé privée de l’adresse du déployeur de Paraswap pourrait avoir été compromise en raison d’un exploit de blasphème, ajoutant que « des fonds ont été volés sur plusieurs chaînes. » L’entreprise a ajouté que « l’adresse de l’agent de déploiement est associée à plusieurs portefeuilles à signatures multiples ».
1/ Bonjour @paraswap ,J’ai entendu dire que vous vouliez voir ceci ? votre clé privée de l’adresse du déployeur a peut-être été compromise (probablement à cause de la vulnérabilité Profanity) et des fonds ont été volés sur plusieurs chaînes.https://t.co/ijHaTwAj0l
– Supremacy Inc. (@Supremacy_CA) October 11, 2022
Un lien Etherscan joint aux tweets montre un transfert de 0,4320 ETH (555,32 $) vers une autre adresse appelée QANplatform Bridge Exploiter 2.
Une autre société de sécurité blockchain, BlockSec, a confirmé que les adresses de ParaSwap et du déployeur Curve Finance étaient vulnérables à la vulnérabilité Profanity.
1/ Nous avons confirmé que les deux adresses de déploiement @paraswap (0x490ce4616672e93b1c8f5e43aa80312fd73dee8c) et @curve (0x07a3458ad662fbcdd4fca0b1b37be6a5b1bcd7ac) sont vulnérables à la vulnérabilité Profanity. Les clés privées peuvent être récupérées. https://t.co/APRXSt1gJh
– BlockSec (@BlockSecTeam) October 11, 2022
ParaSwap démystifie les allégations d’exploitation
L’enquête de ParaSwap sur Supremacy a révélé qu’il n’avait « aucune vulnérabilité ». Selon la plateforme DeFi, l’adresse « a payé l’essence et s’est retirée », ajoutant que « les adresses profanes ont généralement des zéros de fin. »
L’entreprise a également déclaré qu’elle « assurerait le suivi de l’analyse & ; une explication de ce qu’est une adresse de déploiement et comment nous avons fait en sorte qu’elle n’ait pas de pouvoir du tout ! »
Curve Finance a repris la déclaration de ParaSwap, en disant que « les deux sont des déployeurs jetables, ils ne contrôlent rien. Donc aucune raison de s’inquiéter là. »
Pendant ce temps, la réponse rapide de l’équipe de ParaSwap à la situation a attiré les éloges de la communauté cryptographique.
Great response from @paraswap regarding the concern for a possible Profanity exploit.
Apprécier les mises à jour rapides https://t.co/uwP2jYpTRm pic.twitter.com/FePteO75uC– CryptoCondom (@crypto_condom) October 11, 2022
Profondeur de l’adresse de la vulnérabilité
Plusieurs projets de cryptographie utilisant des adresses Vanity ont perdu des millions à cause de la vulnérabilité Profanity depuis qu’elle a été identifiée en septembre par 1inch. Les acteurs malveillants pouvaient récupérer les clés privées de toute adresse vanity générée avec Profanity.
Des rapports ont révélé comment des acteurs malveillants ont utilisé cette vulnérabilité pour pirater plusieurs projets de crypto-monnaie. Le teneur de marché en crypto-monnaies Wintermute a perdu plus de 160 millions de dollars à cause de la vulnérabilité des adresses de vanité.