Dwie firmy zajmujące się bezpieczeństwem blockchain stwierdziły, że adres deploymentu ParaSwap może być podatny na lukę pronaityczną.
Multichain DeFi agregator, ParaSwap obalił twierdzenia, że dziś doznał exploita, mówiąc, że podejrzany adres nie miał mocy po wdrożeniu.
✅ Nie znaleziono żadnej luki! Proszę sprawdzić fakty &Nie ufaj, zweryfikuj!
W dalszej części artykułu przedstawimy analizę & wyjaśnienie, co to jest adres deployera i jak upewniliśmy się, że nie mają one żadnej mocy! https://t.co/uQKVncMZof
– ParaSwap (@paraswap) October 11, 2022
Supremacy raised alarm of profanity vulnerability
Firma Supremacy Inc. twierdzi, że klucz prywatny adresu deployera Paraswap mógł zostać naruszony z powodu exploita profanacji, dodając, że „fundusze zostały skradzione na wielu łańcuchach”. Firma kontynuowała, „adres deployera jest związany z wieloma portfelami multi-sign. „
1/ Cześć @paraswap , Słyszałem, że chcesz to zobaczyć? Twój klucz prywatny adresu deployera mógł zostać naruszony (prawdopodobnie z powodu luki Profanity), a fundusze zostały skradzione na wielu łańcuchach.https://t.co/ijHaTwAj0l
– Supremacy Inc. (@Supremacy_CA) October 11, 2022
An Etherscan link dołączony do tweetów pokazał transfer 0,4320 ETH ($555,32) na inny adres oznaczony QANplatform Bridge Exploiter 2.
Inna firma zajmująca się bezpieczeństwem blockchain BlockSec potwierdziła, że adresy ParaSwap’a i deployera Curve Finance były podatne na podatność Profanity.
1/ Potwierdziliśmy, że zarówno @paraswap adres deployera (0x490ce4616672e93b1c8f5e43aa80312fd73dee8c), jak i @curve adres deployera(0x07a3458ad662fbcdd4fca0b1b37be6a5b1bcd7ac) są podatne na lukę Profanity. Klucze prywatne można odzyskać. https://t.co/APRXSt1gJh
– BlockSec (@BlockSecTeam) October 11, 2022
ParaSwap debunks exploit claims
Dochodzenie prowadzone przez ParaSwap w sprawie Supremacy wykazało, że nie posiada ona „żadnej luki”. Według platformy DeFi, adres „zapłacił za gaz i przeszedł na emeryturę”, dodając, że „adresy Profanity zazwyczaj mają trailing zero.”
Firma stwierdziła również, że będzie „śledzić z analizą & wyjaśnienie, co to jest adres deploymentu i jak upewniliśmy się, że nie mają żadnej mocy!”.
Curve Finance rehashed ParaSwap’s statement, mówiąc: „oba są wyrzuconymi deployerami, nie kontrolują niczego. Więc nie ma tam powodów do zmartwień”.
Tymczasem szybka reakcja zespołu ParaSwap na sytuację przyciągnęła pochwały od społeczności kryptowalutowej.
Great response from @paraswap regarding the concern for a possible Profanity exploit.
Appreciate the rapid updates https://t.co/uwP2jYpTRm pic.twitter.com/FePteO75uC– CryptoCondom (@crypto_condom) October 11, 2022
Profanacja adresu podatkowego
Kilka projektów kryptowalutowych wykorzystujących adresy Vanity straciło miliony na podatność Profanity, odkąd została ona zidentyfikowana we wrześniu przez 1inch. Złośliwi gracze mogli odzyskać klucze prywatne dowolnego adresu vanity wygenerowanego za pomocą Profanity.
Raporty ujawniły, jak źli aktorzy wykorzystali podatność do zhakowania kilku projektów kryptowalutowych. Twórca rynku kryptowalutowego Wintermute stracił ponad 160 milionów dolarów z powodu luki w adresie profanity.