Kryptomena v hodnote približne 950,000 XNUMX dolárov bola ukradnutá z Etherea „márnej adresy“ vygenerovanej pomocou nástroja s názvom Profanity. Využitie využívalo podobnú zraniteľnosť súvisiacu s nedávny útok za 160 miliónov dolárov od výrobcu trhu Wintermute.
„Jemná adresa“ je typ krypto adresy, ktorá zodpovedá určitým parametrom stanoveným tvorcom, pričom často predstavuje ich značku alebo meno.
Namiesto toho, aby krypto adresa bola náhodným, strojovo generovaným reťazcom čísel a písmen, bola by zbytočná adresa vytvorená ľuďmi. Je to z tohto dôvodu používateľov na GitHub naznačili, že tieto typy adries sú zraniteľnejšie voči útokom hrubou silou.
průnikář ukradol 732 Ethereum 25. septembra pred prevodom prostriedkov priamo na banku teraz sankcionované kryptomixér Tornado Cash, podľa údajov z PeckShield.
Hoci to boli používatelia GitHubu, ktorí ako prví odhalili podrobnosti o útoku, potom ich zverejnil agregátor decentralizovaných výmen (DEX) 1Inch Network, ktorý používateľom povedal, aby „čo najskôr preniesli všetky svoje aktíva do inej peňaženky“. zdieľanie blogu o tom, ako zneužitie pravdepodobne fungovalo.
Po útokoch vývojári stojaci za Profanity podnikli kroky, aby zabezpečili, že tento nástroj nikto nebude naďalej používať.
Vulgárny kód vývojári ponechali v nekompilovateľnom stave, pričom archív je archivovaný. Kód nie je nastavený na prijímanie ďalších aktualizácií.
Vanity adresy a kryptohacky
Generálny riaditeľ Wintermute Evgeny Gaevoy nedávno priznal na Twitteri že mamutí útok na jeho spoločnosť „pravdepodobne súvisel s vulgárnym zneužitím našej obchodnej peňaženky DeFi“.
Gaevoy uviedol, že jeho spoločnosť, ktorá poskytuje algoritmické služby na tvorbu trhu, použila „vulgárne výrazy a interný nástroj na generovanie adries s mnohými nulami vpredu“, ale tvrdila, že „dôvodom bola optimalizácia plynu, nie márnosť“.
Boli sme napadnutí za približne 160 miliónov dolárov v našich defi operáciách. Operácie Cefi a OTC nie sú ovplyvnené
— zbožný cynik (@EvgenyGaevoy) September 20, 2022
Zatiaľ sa v súvislosti s útokom Wintermute alebo posledným incidentom neprihlásil žiadny páchateľ a nezískali sa žiadne finančné prostriedky. Tvorca trhu sa vyhráža súdnym konaním a za vrátenie prostriedkov ponúkol odmenu vo výške 16 miliónov dolárov.
Včerajší exploit a Wintermute's môžu byť tiež len špičkou ľadovca.
1Inch vo svojom blogovom príspevku naznačil, že ešte nie je potrebné odhaliť ďalšie exploity a dodal, že „prispievatelia 1inch sa stále pokúšajú určiť všetky adresy, ktoré boli hacknuté“ a že „vyzerá, že by sa dali ukradnúť desiatky miliónov dolárov v kryptomene. , ak nie stovky miliónov.“
Majte prehľad o krypto správach, dostávajte denné aktualizácie do svojej doručenej pošty.
Zdroj: https://decrypt.co/110526/hackers-nab-nearly-1-million-crypto-ethereum-vanity-adress-exploit