Người dùng Paraswap đứng trước nguy cơ bị hack?

Ngày 11/10, công ty bảo mật Supremacy Inc cho biết private key (khóa cá nhân) của người triển khai ParaSwap đã bị xâm phạm. Lỗi này có thể do lỗ hổng từ ví mà Profanity cung cấp, khiến tài sản bị đánh cắp trên nhiều chuỗi.

quynhnguyen

Published Oct 11 2022

Updated Oct 11 2022

3 min read

Hôm nay (11/10), công ty bảo mật blockchain Supremacy Inc cảnh báo người dùng của ParaSwap về việc private key của người triển khai dự án có thể đã bị lộ.

1/ Hi @paraswap ,I heard that you want to see this? your deployer address private key may have been compromised (possibly due to Profanity vulnerability) and funds have been stolen on multiple chains.https://t.co/ijHaTwAj0l
— Supremacy Inc. (@Supremacy_CA) October 11, 2022

Nguyên nhân được dự đoán là lỗ hổng bảo mật trong địa chỉ ví do Profanity. Điều này có thể khiến hàng loạt tài sản trên nhiều chuỗi bị đánh cắp, gây ra thiệt hại nghiêm trọng cho người dùng.

Profanity là một trong những công cụ cung cấp ví vanity. Đây là loại ví cho phép người dùng tùy chỉnh tên hoặc số trong đó. Tương tự xe biển số đẹp, ví vanity chủ yếu dùng để thể hiện cá tính cho chủ nhân của chúng.

2/ The deployer's address is associated with multiple multi-sign wallets. We are searching. We may help you solve it together. please make sure that your other multi-sign addresses are not generated by profanity, otherwise there may be risks in multi-sign wallets. pic.twitter.com/3kZ6WQJ0Ty
— Supremacy Inc. (@Supremacy_CA) October 11, 2022

Trước thông tin này, phía ParaSwap lên tiếng đính chính rằng địa chỉ ví của người triển khai trên đã bị hủy bỏ từ trước và hoàn toàn không có hiệu lực gì. Động thái này của dự án dường như để trấn an cộng đồng trước thông tin về lỗ hổng bảo mật.

Dear community. This is just a deployer address that was retired and has no power at all https://t.co/uQKVncMZof
— ParaSwap (@paraswap) October 11, 2022

Tuy nhiên, để đảm bảo an toàn tài sản trong ví, người dùng từng tương tác với Paraswap nên revoke hợp đồng thông minh kịp thời. Thực chất revoke là một loại công cụ Token Approval, cho phép theo dõi toàn bộ hợp đồng mà người dùng đã chấp thuận sử dụng tiền trong ví của mình, đồng thời người dùng cũng có thể thu hồi những quyền truy cập đó nếu nó không cần thiết.

Paraswap là DEX Aggregator, được xem là cầu nối giữa giao diện người dùng với dịch vụ DeFi khác. Dự án tổng hợp thanh khoản (Aggregator) từ các sàn giao dịch phi tập trùng (DEX), cung cấp cho người dùng trải nghiệm tốt nhất.

Trên thực tế, Paraswap không phải là nạn nhân đầu tiên liên quan đến lỗ hổng từ ví Profanity. Ngày 16/9, một hacker đã bòn rút 3.3 triệu USD từ nhiều địa chỉ ví Ethereum tạo bằng công cụ này.

Đến ngày 25/9, kẻ tấn công tiếp tục đánh cắp 950,000 USD ETH thông qua một vụ exploit nhắm vào địa chỉ ví mà Profanity cung cấp. Được biết, các ví này có liên quan đến dự án Wintermood, nền tảng vừa trải qua vụ hack 160 triệu USD vào cuối tháng 9.

Đọc thêm: Hacker tiếp tục bòn rút gần 1 triệu USD ETH từ ví vanity của Profanity.