Zdecentralizowany agregator wymiany 1inch twierdził 15 września, że odkrył poważną lukę w zabezpieczeniach Ethereum Narzędzie do generowania adresów próżności Wulgaryzmy. Potencjalnie może to narazić użytkowników na miliony dolarów.
1-calowy założyciel i dyrektor generalny Anton Bukov ostrzegł użytkowników ethereum w krótkim czasie ćwierkać że „fundusze nie są Safu”, krypto żargon używany do wyrażania, że fundusze użytkowników są zagrożone stratą w następstwie włamać się lub wykorzystać.
„Przenieś wszystkie swoje aktywa do innego portfel tak szybko, jak to możliwe”, powiedział później 1inch Network w bezpieczeństwo raport. „Jeśli użyłeś wulgaryzmów, aby uzyskać adres inteligentnej umowy próżności, pamiętaj, aby zmienić właścicieli tej inteligentnej umowy”.
Setki milionów dolarów zagrożone
Wulgaryzmy to narzędzie, które pozwala użytkownikom Ethereum tworzyć „adresy próżności”, rodzaj niestandardowych portfeli kryptograficznych, które zawierają w sobie rozpoznawalne nazwy lub liczby. Popularne narzędzie zostało uruchomione w 2017 roku.
W swoim raporcie 1inch wyjaśnił, że klucze prywatne do adresów wygenerowanych na Wulgaryzmach można obliczyć za pomocą ataków brute force. Twierdził, że wrażliwość mogło pozwolić hakerom na „potajemne” wysysanie milionów dolarów z portfeli użytkowników wulgaryzmów przez lata.
„Jednocalowi współtwórcy wciąż próbują określić wszystkie adresy próżności, które zostały zhakowane”, powiedział strój, dodając:
„To nie jest proste zadanie, ale w tym momencie wygląda na to, że można ukraść dziesiątki milionów dolarów w kryptowalutach, jeśli nie setki milionów. Jedną dobrą rzeczą jest to, że dowody włamań są dostępne w sieci na zawsze”.
Deweloper wulgaryzmów: nie używaj tego narzędzia!
Anonimowy deweloper wulgaryzmów, który na Github występuje pod pseudonimem „johguse”, powiedziany że „porzucili” projekt kilka lat temu po tym, jak dowiedzieli się o „podstawowych kwestiach bezpieczeństwa w generowaniu kluczy prywatnych”.
„Zdecydowanie odradzam używanie tego narzędzia w jego obecnym stanie. Kod nie otrzyma żadnych aktualizacji i pozostawiłem go w stanie niekompilacyjnym. Użyj czegoś innego!” dodał deweloper.
Ethereum wykorzystuje kombinację kluczy publicznych i prywatnych do generowania adresów portfela – długiej listy losowych znaków alfanumerycznych. Osoby posiadające klucz prywatny do adresu mogą autoryzować transfer środków z jednego konta na drugie, udowadniając, że są właścicielami pieniędzy.
Adresy próżności są jednak generowane nieco inaczej. 1 cal wyszczególnił, że Profanity, popularne i „wysoce wydajne” narzędzie, pozwalało użytkownikom tworzyć miliony adresów na sekundę i wyszukiwać ciągi liter i cyfr, o które proszą użytkownicy, aby uzyskać adres portfela na zamówienie.
1inch powiedział, że metoda wykorzystywana przez wulgaryzmy do generowania adresów nie była niezawodna, a klucze publiczne z adresów próżności można obliczyć za pomocą ataków brute force.
„Kilka dni temu 1-calowi współtwórcy osiągnęli kod sprawdzający koncepcję, który pozwala im odzyskać klucze prywatne z dowolnego adresu wygenerowanego za pomocą wulgaryzmów niemal w tym samym czasie, który był wymagany do wygenerowania tego adresu” – wyjaśnił.
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/