Hakerim izdevās nozagt kriptovalūtas 3.3 miljonu dolāru vērtībā no vairākām Ethereum adresēm, kas tika ģenerētas ar “Profanity” rīku. Līdzekļi tika iztērēti pat pēc tam, kad decentralizētais biržas apkopotājs 1 inch brīdināja lietotājus par nopietnas ievainojamības atklāšanu, kas apdraud miljoniem dolāru.
Tā iepriekš bija ieteikusi lietotājiem, kuriem pieder maku adreses, kas ģenerētas, izmantojot Profanity rīku, pārsūtīt savus līdzekļus uz citu maku.
1 collas drošības ziņojums
2022. gada sākumā 1 collas līdzstrādnieki novēroja, ka Profanity izmantoja nejaušu 32 bitu vektoru, lai iesētu 256 bitu privātās atslēgas, un viņiem bija aizdomas, ka tas varētu būt nedrošs. Veicot turpmāku izmeklēšanu, tika konstatētas vēl aizdomīgas darbības, kas liecināja, ka Profanity maki ir apdraudēti.
“1 collas līdzstrādnieki pārbaudīja bagātākās iedomības adreses populārajos tīklos un nonāca pie secinājuma, ka lielākā daļa no tām nav izveidotas, izmantojot Profanity rīku. Bet Profanity ir viens no populārākajiem rīkiem, pateicoties tā augstajai efektivitātei. Diemžēl tas varētu nozīmēt tikai to, ka lielākā daļa Profanity maku tika slepeni uzlauzti.
Saskaņā ar 1inch, Profanity ir populārs un “ļoti efektīvs” rīks, ar kuru lietotāji var izveidot miljoniem adrešu sekundē. Tomēr arī procedūra, ko Profanity izmantoja adrešu ģenerēšanai, nebija nevainojama un bija jutīga pret uzbrukumiem.
Drošības atklāšana ziņot 1inch pagājušajā nedēļā publicēja arī to, ka ievainojamība, iespējams, ļāva hakeriem gadiem ilgi “slepus” nozagt miljoniem dolāru no Profanity lietotāju makiem. Līdzstrādnieki pašlaik mēģina noteikt visas apdraudētās iedomības adreses.
Drīz pēc brīdinājuma blokķēdes pētnieks ZachXBT paziņoja par uzbrukumu, kurā tika iztērēti vairāk nekā 3 miljoni USD. Par laimi, viņa čivināt palīdzēja lietotājam ietaupīt 1.2 miljonus dolāru kriptovalūtu un NFT no hakera, kuram bija piekļuve viņu makam.
Profanity Devs Abandon Project
Pēc ZenGo drošības vadītāja un galvenā tehnoloģiju speciālista Tal Be'ery teiktā, ļaunprātīgās vienības varētu ir "sēžuši" pie ievainojamības, cenšoties iegūt pēc iespējas vairāk privāto atslēgu ar rupjībām ģenerētām iedomīgām adresēm, pirms ievainojamība tika atklāta. Tomēr viņi ieguva naudu pēc tam, kad tas tika publiski atklāts par 1 collu.
Tikmēr viens no Profanity izstrādātājiem, kurš Github izmanto pseidonīmu "johguse", sacīja, ka viņi jau pirms dažiem gadiem ir "pametuši" projektu. The komentēt par to pašu lasīto,
“Šo projektu es pametu pirms pāris gadiem. Mana uzmanība ir pievērsta fundamentāliem drošības jautājumiem, kas saistīti ar privāto atslēgu ģenerēšanu. Es stingri neiesaku izmantot šo rīku tā pašreizējā stāvoklī. Šī repozitorija drīzumā tiks papildināta ar papildu informāciju par šo kritisko problēmu.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/