Decentralizovaný agregátor výmeny 1inch 15. septembra tvrdil, že objavil závažnú zraniteľnosť v Ethereum vulgárny nástroj na generovanie adries. To má potenciál ohroziť milióny dolárov v používateľských peniazoch.
Zakladateľ a generálny riaditeľ spoločnosti 1inch Anton Bukov varoval používateľov etherea v a tweet že „finančné prostriedky nie sú Safu“, krypto žargón používaný na vyjadrenie, že finančné prostriedky používateľov sú vystavené riziku straty po hacknúť alebo zneužiť.
„Presuňte všetky svoje aktíva na inú peňaženka čo najskôr,“ uviedla 1inch Network neskôr v a zabezpečenia správy. „Ak ste použili Profanity na získanie adresy inteligentnej zmluvy, nezabudnite zmeniť vlastníkov tejto inteligentnej zmluvy.“
Ohrozené sú stovky miliónov dolárov
Vulgárne výrazy sú nástroj, ktorý umožňuje používateľom Etherea vytvárať „márné adresy“, čo je typ vlastných krypto peňaženiek, ktoré obsahujú rozpoznateľné mená alebo čísla. Populárny nástroj bol spustený niekedy v roku 2017.
1inch vo svojej správe vysvetlil, že súkromné kľúče k adresám generovaným na Profanity možno vypočítať pomocou útokov hrubou silou. Tvrdilo, že zraniteľnosť možno umožnili hackerom „tajne“ odčerpávať milióny dolárov z peňaženiek používateľov Profanity už roky.
„Prispievatelia 1 palca sa stále pokúšajú určiť všetky adresy, ktoré boli napadnuté hackermi,“ povedal outfit a dodal:
„Nie je to jednoduchá úloha, ale v tejto chvíli to vyzerá, že by sa dali ukradnúť desiatky miliónov dolárov v kryptomene, ak nie stovky miliónov. Jedna dobrá vec je, že dôkazy o hackoch sú v reťazci k dispozícii navždy.“
Vývojár vulgárnych výrazov: nepoužívajte tento nástroj!
Vulgárny anonymný vývojár, ktorý má na Githube prezývku „johguse“, povedal že projekt „opustili“ pred niekoľkými rokmi po tom, čo zistili „základné bezpečnostné problémy pri generovaní súkromných kľúčov“.
„Dôrazne neodporúčam používať tento nástroj v jeho súčasnom stave. Kód nebude dostávať žiadne aktualizácie a ponechal som ho v nekompilovateľnom stave. Použi niečo iné!" dodal vývojár.
Ethereum používa na generovanie adries peňaženky kombináciu verejných a súkromných kľúčov – dlhý zoznam náhodných alfanumerických znakov. Tí, ktorí majú súkromný kľúč k adrese, môžu povoliť prevod prostriedkov z jedného účtu na druhý, čím preukážu, že peniaze vlastnia.
Vanity adresy sa však generujú trochu inak. 1 palec podrobne uvádza, že Profanity, populárny a „veľmi efektívny“ nástroj, umožňoval používateľom vytvárať milióny adries za sekundu a vyhľadávať reťazce písmen a čísel, ktoré používatelia požadovali pre adresu peňaženky na mieru.
1inch uviedol, že metóda, ktorú používa Profanity na generovanie adries, nie je spoľahlivá a že verejné kľúče z márnivých adries možno vypočítať pomocou útokov hrubou silou.
„Pred niekoľkými dňami dosiahli 1palcový prispievatelia kód proof-of-concept, ktorý im umožňuje obnoviť súkromné kľúče z ľubovoľnej adresy vygenerovanej pomocou Profanity takmer v rovnakom čase, aký bol potrebný na vygenerovanie tejto adresy,“ vysvetľuje.
Vylúčenie zodpovednosti
Všetky informácie uvedené na našej webovej stránke sú zverejnené v dobrej viere a iba na všeobecné informačné účely. Akékoľvek kroky, ktoré čitateľ vykoná na základe informácií nájdených na našej webovej stránke, sú výlučne na jeho vlastné riziko.
Zdroj: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/