Nelabprātības rīka ievainojamība, neskatoties uz 3.3 collas brīdinājumu, iztērē 1 miljonus USD

Decentralizēts apmaiņas apkopotājs 1 collas tīkls izdeva brīdinājumu kriptovalūtu investoriem pēc tam, kad tika konstatēta ievainojamība Profanity, an Ethereum (ETH) iedomības adreses ģenerēšanas rīks. Par spīti proaktīvajam brīdinājumam, acīmredzot, hakeriem izdevās atpelnīt kriptovalūtas 3.3 miljonu dolāru vērtībā.

15. septembrī 1 Inch atklāja, ka Profanity lietošana nav droša, jo tas izmantoja nejaušu 32 bitu vektoru, lai iesētu 256 bitu privātās atslēgas. Turpmākās izmeklēšanas norādīja uz neskaidrību iedomības adrešu izveidē, liekot domāt, ka Profanity maki tika slepeni uzlauzti. Brīdinājums nāca tvīta veidā, kā parādīts zemāk.

BRIEZIET, MUĻI

⚠️ Spoileris: jūsu nauda NAV SAFU, ja jūsu maka adrese tika ģenerēta, izmantojot rīku Profanity. Pārsūtiet visus savus līdzekļus uz citu maku pēc iespējas ātrāk!

➡️ Lasi vairāk: https://t.co/oczK6tlEqG#Ethereum #crypto # neaizsargātība # 1 collas

— 1 collas tīkls (@1 colla) Septembris 15, 2022

Turpmākā izmeklēšana, ko veica blokķēdes pētnieks ZachXBT, parādīja, ka veiksmīga ievainojamības izmantošana ļāva hakeriem iztērēt kriptovalūtu 3.3 miljonus USD.

Šķiet, ka šīs ievainojamības dēļ 3.3x0ae ir izmantojis kriptovalūtu 6 miljonu USD vērtībā.

Interesanti, ka Indexed Finance Exploiter bija pirmā adrese, kuru iztukšoja 0x6ae.

Uzbrucēju adrese:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq

— ZachXBT (@zachxbt) Septembris 17, 2022

Turklāt ZachXBT palīdzēja lietotājam ietaupīt vairāk nekā 1.2 miljonus USD kriptovalūtu un nonfungible marķieri (NFT) pēc brīdinājuma par hakeri, kuram bija piekļuve lietotāja makam. Pēc atklāsmes daudzi lietotāji apstiprināja, ka viņu līdzekļi ir drošībā Noteikts:

“Wtf 6h pēc uzbrukuma manas adreses joprojām bija vuln, bet uzbrucējs mani neiztukšoja? riskēja ar 55 k. lol

Tomēr hakeri mēdz uzbrukt lielākiem makiem, pirms pāriet uz makiem ar mazāku vērtību. Lietotājiem, kuriem pieder maka adreses, kas ģenerētas, izmantojot rupjības rīku, ir ieteikts “ĀPĀRĀK visus savus līdzekļus uz citu maku!” par 1 collu.

Saistītie: Tiesībaizsardzības iestādes atgūst 30 miljonus dolāru no Ronin Bridge uzlaušanas ar Chainalysis palīdzību

Lai gan daži hakeri dod priekšroku tradicionālajai lietotāju līdzekļu izsūknēšanas metodei pēc nelegālas piekļuves kriptovalūtas makiem, citi izmēģina jaunus veidus, kā apmānīt investorus, lai viņi kopīgotu savas privātās atslēgas.

Viena no nesenajām novatoriskajām krāpniecībām bija saistīta ar uzlaušanu a YouTube kanāls izdomātu Elona Muska videoklipu atskaņošanai kriptovalūtu apspriešana. 3. septembrī Dienvidkorejas valdības YouTube kanāls tika uz brīdi uzlauzts un pārdēvēts, lai kopīgotu ar šifrēšanu saistīto videoklipu tiešraides.

YouTube kanāla uzlauztais ID un parole tika identificēts kā uzlaušanas galvenais iemesls.