Sotva týždeň po hacknutí Wintermute bolo podľa správ z 950,000. septembra 26 ukradnutých 2022 XNUMX $ v étere (ETH) z kryptopeňaženky prostredníctvom zneužitia „vanity address“.
Vulgarizmy generované márnivé adresy pod útokom
26. septembra Peckshield, bezpečnostná firma pre blockchain tweet že hacker ukradol éter v hodnote 950,000 XNUMX dolárov (ETH) z kryptomenovej peňaženky. Hack mal veľa podobností so 160 miliónmi dolárovým porušením na Wintermute minulý týždeň.
PeckShield hovorí, že hacker ukradol 732 ETH z kryptomenovej peňaženky 25. septembra a zmiešal ich s inými kryptomenami pomocou schválenej služby na miešanie kryptomien, Tornado Cash. Finančné prostriedky boli potom úspešne prevedené do kryptopeňaženky zlého herca.
Experti odhalili, že najnovšia lúpež bola úspešná vďaka slabosti generátora márnych adries, ktorý bol prvýkrát objavený na GitHub v januári 2022. Zraniteľnosť bola zverejnená v septembri, keď decentralizovaný burzový agregátor 1inch objavil zásadné bezpečnostné problémy s nástrojom Profanity. .
Pre neznalých je nástroj Profanity generátorom adries peňaženky, ako už bolo spomenuté. Zatiaľ čo väčšina adries peňaženky Ethereum sa generuje náhodne, tieto adresy sú vytvorené so špecifickým výrazom, napríklad niečím menom, niekde v rámci adresy.
Podľa 1 palcov, Mnoho márnivých adries, ktoré boli vygenerované nástrojom Profanity, je ohrozených týmito zneužitiami, ktoré by si vyžadovali útok hrubou silou. Zatiaľ čo vykonanie tohto útoku by vyžadovalo obrovské množstvo výpočtového výkonu, hackeri by stále považovali vykonávanie týchto útokov za odmeňujúce cvičenie, ak by sa v peňaženke nachádzalo veľké množstvo kryptomien.
Crypto and DeFi Heists pokračujú
Narušenie bezpečnosti a hackovanie sa rozmohlo v krypto sektore, s defi protokoly, ktoré majú doteraz najväčší úspech. Hackeri pred týždňom ukradli tvorcovi kryptotrhu 160 miliónov dolárov zimomriavky. Neskôr sa ukázalo, že hack bol umožnený vďaka jednej z Wintermuteových adries, ktorá mala vlastnosti márnej adresy, čo by mohlo byť koreňom zraniteľnosti.
Zdá sa, že problém sa ešte viac zhoršuje. Podľa správys, V júli 1.9 bolo ukradnutých viac ako 2022 miliardy dolárov v kryptomenách počítačovými zločincami, čo je výrazne viac ako 1.2 miliardy dolárov ukradnutých v rovnakom časovom rámci v roku 2021.
Ethereum Devs Float návrh „Tlačidlo Späť“.
Zvyšujúca sa frekvencia kryptohackov v roku 2022 viedla skupinu výskumníkov k sformulovaniu nového návrhu dvoch nových štandardov tokenov Ethereum: ERC20R a ERC721R. Nové navrhované štandardy tokenov sú rozšíreniami existujúcich ERC20 a ERC721 a teraz by zahŕňali schopnosť zvrátiť škodlivé transakcie.
Navrhované tokenové štandardy by kombinovali symbolickú zmluvu a zmluvu o riadení, pričom by ju kontroloval decentralizovaný súdny systém. Podľa návrhu by používatelia, ktorí sú obeťami hackingu, mohli požiadať o zmrazenie inteligentnej zmluvy o riadení s podpornými dôkazmi.
Žiadosť o zmrazenie sa potom predloží porote decentralizovaných sudcov, ktorí potom hlasovaním rozhodnú, či existujú podstatné dôkazy na zmrazenie finančných prostriedkov alebo inak.
Ak väčšina sudcov hlasuje za zmrazenie, začne sa súdny proces. Počas procesu môžu obe strany (obeť aj hacker) predložiť svoje dôkazy decentralizovaným sudcom, ktorí budú opäť hlasovať o výsledku.
Hoci táto myšlienka má potenciál znížiť riziko narušenia bezpečnosti, mnohí v krypto priestore kritizovali návrh a tvrdili, že takéto iniciatívy sú v rozpore so základnými princípmi technológie blockchain. Niektorí kritici tiež poukázali na to, že pridanie funkcie reverzibility do zmlúv o tokenoch ERC20 by mohlo sťažiť ich integráciu do decentralizovaných aplikácií.
Zdroj: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/