Hackerovi sa podarilo ukradnúť kryptomeny v hodnote 3.3 milióna dolárov z niekoľkých adries Ethereum vygenerovaných pomocou nástroja „Profanity“. Prostriedky boli vyčerpané aj po tom, čo decentralizovaný burzový agregátor 1inch varoval používateľov pred objavením závažnej zraniteľnosti, ktorá ohrozuje milióny dolárov.
Používateľom, ktorí vlastnia adresy peňaženky vygenerované nástrojom Profanity, už predtým odporučil, aby svoje aktíva preniesli do inej peňaženky.
1-palcová správa o zabezpečení
Začiatkom roku 2022 si 1palcový prispievatelia všimli, že Profanity používa náhodný 32-bitový vektor na nasadenie 256-bitových súkromných kľúčov a mali podozrenie, že by to mohlo byť nebezpečné. Po ďalšom vyšetrovaní bola zaznamenaná viac podozrivá aktivita, ktorá signalizovala, že boli ohrozené vulgárne peňaženky.
„1palcový prispievatelia skontrolovali najbohatšie adresy na populárnych sieťach a dospeli k záveru, že väčšina z nich nebola vytvorená nástrojom vulgárnych výrazov. Vulgárne výrazy sú však jedným z najobľúbenejších nástrojov vďaka vysokej účinnosti. Žiaľ, mohlo to znamenať iba to, že väčšina vulgárnych peňaženiek bola tajne hacknutá.“
Podľa spoločnosti 1inch je vulgárnosť obľúbeným a „vysoko efektívnym“ nástrojom, pomocou ktorého môžu používatelia vytvárať milióny adries za sekundu. Postup, ktorý Profanity používa na generovanie adries, však tiež nebol bezchybný a bol náchylný na útoky.
Bezpečnostné zverejnenie správy publikoval 1inch minulý týždeň tiež poznamenal, že táto zraniteľnosť mohla umožniť hackerom „tajne“ kradnúť milióny dolárov z peňaženiek používateľov Profanity už roky. Prispievatelia sa momentálne snažia určiť všetky napadnuté adresy.
Krátko po varovaní oznámil blockchainový vyšetrovateľ ZachXBT útok, ktorý odčerpal prostriedky vo výške viac ako 3 milióny dolárov. Našťastie jeho tweet pomohli používateľovi ušetriť 1.2 milióna dolárov v krypto a NFT od hackerov, ktorí mali prístup k ich peňaženke.
Profanity Devs Abandon Project
Podľa Tala Be'eryho, bezpečnostného vedúceho a technologického riaditeľa ZenGo, sú škodlivé entity mohol „sedeli“ na zraniteľnosti v snahe dostať sa k čo najväčšiemu počtu súkromných kľúčov chybných vulgárnych adries generovaných vulgárnymi výrazmi predtým, ako bola zraniteľnosť zistená. Inkasovali však po tom, čo bol verejne odhalený o 1 palec.
Medzitým jeden z vývojárov Profanity, ktorý na Githube vystupuje pod pseudonymom 'johguse', povedal, že projekt už pred niekoľkými rokmi „opustili“. The komentár ohľadom toho istého čítania,
„Tento projekt som pred pár rokmi opustil. Upozornili ma na základné bezpečnostné problémy pri generovaní súkromných kľúčov. Dôrazne neodporúčam používať tento nástroj v jeho súčasnom stave. Toto úložisko bude čoskoro ďalej aktualizované o ďalšie informácie týkajúce sa tohto kritického problému.“
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/