Hakerowi udało się ukraść kryptowaluty o wartości 3.3 miliona dolarów z kilku adresów Ethereum wygenerowanych za pomocą narzędzia „Wulgaryzmy”. Fundusze zostały wyczerpane nawet po tym, jak zdecentralizowany agregator wymiany 1inch ostrzegł użytkowników przed odkryciem poważnej luki, która zagraża milionom dolarów.
Wcześniej doradzał użytkownikom posiadającym adresy portfela wygenerowane za pomocą narzędzia Wulgaryzmy przeniesienie swoich aktywów do innego portfela.
1-calowy raport bezpieczeństwa
Na początku 2022 r. 1-calowi współtwórcy zauważyli, że wulgaryzmy używały losowego 32-bitowego wektora do umieszczania 256-bitowych kluczy prywatnych i podejrzewali, że może to być niebezpieczne. Po dalszym dochodzeniu zauważono bardziej podejrzaną aktywność, sygnalizując, że portfele wulgaryzmów zostały naruszone.
„Twórcy 1-calowym sprawdzili najbogatsze adresy próżności w popularnych sieciach i doszli do wniosku, że większość z nich nie została stworzona przez narzędzie Wulgaryzmy. Ale Profanity to jedno z najpopularniejszych narzędzi ze względu na jego wysoką wydajność. Niestety, może to tylko oznaczać, że większość portfeli Wulgaryzmów została potajemnie zhakowana”.
Według 1inch Profanity jest popularnym i „wysoce wydajnym” narzędziem, za pomocą którego użytkownicy są w stanie tworzyć miliony adresów na sekundę. Jednak procedura wykorzystywana przez Profanity do generowania adresów również nie była bezbłędna i była podatna na ataki.
Ujawnienie bezpieczeństwa raport opublikowany przez 1inch w zeszłym tygodniu zauważył również, że luka mogła umożliwić hakerom „potajemną” kradzież milionów dolarów z portfeli użytkowników Profanity przez lata. Współtwórcy obecnie próbują określić wszystkie zhakowane adresy toaletowe.
Wkrótce po ostrzeżeniu śledczy ds. blockchain ZachXBT powiadomił o ataku, który pochłonął ponad 3 miliony dolarów funduszy. Na szczęście jego ćwierkać pomógł użytkownikowi zaoszczędzić 1.2 miliona dolarów na kryptowalutach i NFT od hakera, który miał dostęp do jego portfela.
Twórcy wulgaryzmów porzucają projekt
Według Tal Be'ery, szefa bezpieczeństwa ZenGo i dyrektora ds. technologii, złośliwe podmioty mógłby „siedzą” na luce, próbując zdobyć jak najwięcej kluczy prywatnych z uszkodzonych przez błędy adresów próżności wygenerowanych przez wulgaryzmy, zanim luka zostanie wykryta. Jednak wypłacili po tym, jak został publicznie ujawniony przez 1 cal.
Tymczasem jeden z deweloperów Profanity, który na Github występuje pod pseudonimem „johguse”, powiedział, że już kilka lat temu „porzucili” projekt. The komentarz w odniesieniu do tej samej lektury,
„Ten projekt został przeze mnie porzucony kilka lat temu. Zwrócono mi uwagę na podstawowe kwestie bezpieczeństwa w generowaniu kluczy prywatnych. Zdecydowanie odradzam używanie tego narzędzia w jego obecnym stanie. To repozytorium będzie wkrótce dalej aktualizowane o dodatkowe informacje dotyczące tego krytycznego problemu.”
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/