Tikko nedēļu pēc Wintermute uzlaušanas, saskaņā ar 950,000. gada 26. septembra ziņojumiem no šifrēšanas maka, izmantojot “iedomības adreses”, tika nozagti 2022 XNUMX USD ēterā (ETH).
Rupjības ģenerētas iedomīgas adreses, kas tiek uzbruktas
26. septembrī Peckshield, blokķēdes drošības firma tweeted ka hakeris nozaga Ether 950,000 XNUMX USD vērtībā (ETH) no kriptovalūtas maka. Uzlaušanai bija daudz līdzību ar 160 miljonu ASV dolāru pārkāpumu vietnē Wintermute pagājušajā nedēļā.
PeckShield saka, ka hakeris 732. septembrī nozaga 25 ETH no kriptovalūtas maka un sajauca to ar citiem kriptovalūtu fondiem, izmantojot sankcionēto kriptovalūtu sajaukšanas pakalpojumu, Tornado Cash. Pēc tam līdzekļi tika veiksmīgi pārskaitīti uz sliktā aktiera kriptovalūtu.
Eksperti ir atklājuši, ka jaunākā aplaupīšana bija veiksmīga, jo tika konstatēts vājums iedomības adrešu ģeneratorā, kas pirmo reizi tika atklāts vietnē GitHub 2022. gada janvārī. Ievainojamības tika publiskotas septembrī, kad decentralizētais apmaiņas apkopotājs, 1 colla, atklāja būtiskas drošības problēmas ar Profanity rīku. .
Nezinātājiem Profanity rīks ir iedomības maka adrešu ģenerators, kā jau minēts. Lai gan lielākā daļa Ethereum maka adrešu tiek ģenerētas nejauši, šīs iedomības adreses tiek izveidotas ar noteiktu terminu, piemēram, kādas personas vārdu, kaut kur adresē.
Saskaņā ar 1 collas, Daudzas iedomības adreses, kas tika ģenerētas, izmantojot Profanity rīku, ir pakļautas šo ļaunprātīgo darbību riskam, kam būtu nepieciešams brutāla spēka uzbrukums. Lai gan šī uzbrukuma veikšana prasītu milzīgu skaitļošanas jaudu, hakeri joprojām uzskatītu, ka šo uzbrukumu veikšana ir atalgojošs vingrinājums, ja makā ir liels kriptovalūtu daudzums.
Kripto un DeFi aplaupīšanas turpinās
Drošības pārkāpumi un uzlauzumi ir kļuvuši nikns kriptovalūtu nozarē, ar DEFI protokoli, kuros līdz šim bija vislielākais trieciens. Pirms nedēļas hakeri no kriptovalūtu tirgus veidotāja nozaga 160 miljonus dolāru Ziemas skaņa. Vēlāk tika atklāts, ka uzlaušana bija iespējama, jo vienai no Wintermute adresēm bija iedomības adreses īpašības, kas varētu būt ievainojamības sakne.
Šķietami šķiet, ka problēma kļūst vēl sliktāka. Saskaņā ar ziņots, 1.9. gada jūlijā kibernoziedznieki ir nozaguši kriptovalūtu vairāk nekā 2022 miljardus dolāru, kas ir ievērojami vairāk nekā 1.2 miljardu dolāru apmērā, kas tika nozagti tajā pašā laika posmā 2021. gadā.
Ethereum Devs piedāvā “Atsaukt pogu”.
Pieaugošais kriptovalūtu uzlaušanas biežums 2022. gadā ir licis pētnieku grupai formulēt jaunu priekšlikumu diviem jauniem Ethereum marķiera standartiem: ERC20R un ERC721R. Ierosinātie jaunie marķieru standarti ir esošo ERC20 un ERC721 paplašinājumi, un tagad tie ietvertu iespēju atcelt ļaunprātīgus darījumus.
Ierosinātie marķieru standarti apvienotu simbolisku līgumu un pārvaldības līgumu, kur pēdējo kontrolētu decentralizēta tiesu sistēma. Saskaņā ar priekšlikumu lietotāji, kas ir uzlaušanas upuri, varētu iesniegt pārvaldības viedā līguma iesaldēšanas pieprasījumu ar apstiprinošiem pierādījumiem.
Pēc tam iesaldēšanas pieprasījums tiks iesniegts decentralizētu tiesnešu kolēģijai, kas pēc tam balsos, lai izlemtu, vai ir būtiski pierādījumi līdzekļu iesaldēšanai vai kā citādi.
Ja tiesnešu vairākums nobalsos par iesaldēšanu, tiks uzsākta tiesa. Tiesas procesa laikā abas puses (cietušais un hakeris) var iesniegt savus pierādījumus decentralizētajiem tiesnešiem, kuri atkārtoti balsos par iznākumu.
Lai gan idejai ir potenciāls samazināt drošības pārkāpumu risku, daudzi kriptogrāfijas jomā ir kritizējuši priekšlikumu, sakot, ka šādas iniciatīvas ir pretrunā blokķēdes tehnoloģijas pamatprincipiem. Daži kritiķi arī norādīja, ka atgriezeniskās funkcijas pievienošana ERC20 marķieru līgumiem varētu padarīt to sarežģītu integrēt decentralizētās lietojumprogrammās.
Avots: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/