Decentralizēts apmaiņas agregators 1inch 15. septembrī apgalvoja, ka ir atklājis nopietnu ievainojamību Ethereum iedomības adreses ģenerēšanas rīks Profanity. Tas var apdraudēt lietotāju naudu miljoniem dolāru.
1inch dibinātājs un izpilddirektors Antons Bukovs brīdināja ethereum lietotājus a čivināt “Līdzekļi nav Safu”, kriptovalods, ko izmanto, lai izteiktu, ka lietotāju līdzekļi ir pakļauti zaudējuma riskam pēc uzlauzt vai izmantot.
"Pārvietojiet visus savus īpašumus uz citu seifs cik drīz vien iespējams,” 1inch Network vēlāk teica a drošība ziņot. “Ja izmantojāt Profanity, lai iegūtu iedomības viedā līguma adresi, noteikti mainiet šī viedā līguma īpašniekus.”
Apdraudēti simtiem miljonu dolāru
Nelabprātība ir rīks, kas ļauj Ethereum lietotājiem izveidot “iedomības adreses” — pielāgotu kriptovalūtu maku, kas satur atpazīstamus vārdus vai numurus. Populārais rīks tika laists klajā 2017. gadā.
Savā ziņojumā 1inch paskaidroja, ka privātās atslēgas adresēm, kas ģenerētas, izmantojot Profanity, var aprēķināt, izmantojot brutāla spēka uzbrukumus. Tā apgalvoja neaizsargātība iespējams, ļāva hakeriem gadiem ilgi “slepus” izvilkt miljoniem dolāru no Profanity lietotāju makiem.
"1 collas līdzstrādnieki joprojām mēģina noteikt visas uzlauztās iedomības adreses," sacīja apģērbs, piebilstot:
“Tas nav vienkāršs uzdevums, taču šobrīd izskatās, ka kriptovalūtā var tikt nozagti desmitiem miljonu dolāru, ja ne simtiem miljonu. Viena laba lieta ir tā, ka uzlaušanas pierādījumi ir pieejami ķēdē uz visiem laikiem.
Rupjības izstrādātājs: neizmantojiet šo rīku!
Anonīms rupjības izstrādātājs, kurš Github izmanto nosaukumu “johguse”, teica ka viņi "atteicās" no projekta pirms dažiem gadiem pēc tam, kad uzzināja par "privāto atslēgu ģenerēšanas pamata drošības problēmām".
“Es stingri neiesaku izmantot šo rīku tā pašreizējā stāvoklī. Kods nesaņems nekādus atjauninājumus, un es to atstāju nekompilējamā stāvoklī. Izmantojiet kaut ko citu!” izstrādātājs piebilda.
Ethereum izmanto publisko un privāto atslēgu kombināciju, lai ģenerētu seifa adreses — garš saraksts ar nejaušām burtciparu rakstzīmēm. Tie, kuriem ir adreses privātā atslēga, var atļaut līdzekļu pārskaitījumu no viena konta uz citu, pierādot, ka viņiem pieder nauda.
Tomēr iedomības adreses tiek ģenerētas nedaudz savādāk. 1 inch detalizēti paskaidroja, ka Profanity, populārs un “ļoti efektīvs” rīks, ļāva lietotājiem izveidot miljoniem adrešu sekundē un meklēja tās burtu un ciparu virknes, kuras lietotāji pieprasīja, lai iegūtu pielāgotu maka adresi.
1inch teica, ka Profanity izmantotā metode adrešu ģenerēšanai nav droša un ka publiskās atslēgas no iedomīgām adresēm var aprēķināt ar brutālu spēku uzbrukumiem.
“Pirms dažām dienām 1 collas līdzstrādnieki panāca koncepcijas pierādījuma kodu, kas ļāva viņiem atgūt privātās atslēgas no jebkuras ar Profanity ģenerētas iedomības adreses gandrīz tajā pašā laikā, kas bija nepieciešams šīs iedomības adreses ģenerēšanai,” skaidrots.
Atbildības noraidīšana
Visa mūsu vietnē esošā informācija tiek publicēta godprātīgi un tikai vispārējas informācijas nolūkos. Jebkura darbība, ko lasītājs veic, izmantojot mūsu vietnē atrodamo informāciju, ir stingri atkarīgs no viņa paša.
Avots: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/