Desentralisadong agregator ng palitan 1inch inangkin noong Setyembre 15 na nakatuklas ng matinding kahinaan sa Ethereum vanity address generating tool Kabastusan. Ito ay may potensyal na ilagay sa panganib ang milyun-milyong dolyar sa pera ng gumagamit.
Ang 1inch founder at CEO na si Anton Bukov ay nagbabala sa mga gumagamit ng ethereum sa isang tiririt na “ang mga pondo ay hindi Safu,” crypto lingo na ginamit upang ipahayag na ang mga pondo ng user ay nasa panganib na mawalan kasunod ng a hack o pagsamantalahan.
“Ilipat ang lahat ng iyong asset sa ibang lugar wallet sa lalong madaling panahon,” 1inch Network mamaya sinabi sa isang katiwasayan ulat. "Kung ginamit mo ang Profanity para makakuha ng vanity smart contract address, tiyaking baguhin ang mga may-ari ng smart contract na iyon."
Daan-daang milyong dolyar ang nasa panganib
Ang kabastusan ay isang tool na nagbibigay-daan sa mga gumagamit ng Ethereum na lumikha ng "mga vanity address," isang uri ng custom na crypto wallet na naglalaman ng mga nakikilalang pangalan o numero sa loob ng mga ito. Ang sikat na tool ay inilunsad noong 2017.
Sa ulat nito, ipinaliwanag ng 1inch na ang mga pribadong key sa mga address na nabuo sa Profanity ay maaaring kalkulahin gamit ang mga malupit na pag-atake. Inangkin nito ang kahinaan maaaring pinahintulutan ang mga hacker na "lihim" na humigop ng milyun-milyong dolyar mula sa mga wallet ng mga gumagamit ng Profanity sa loob ng maraming taon.
"Sinusubukan pa rin ng mga contributor na 1 pulgada na matukoy ang lahat ng vanity address na na-hack," sabi ng outfit, at idinagdag:
“Ito ay hindi isang simpleng gawain, ngunit sa puntong ito mukhang sampu-sampung milyong dolyar sa cryptocurrency ang maaaring nakawin, kung hindi man daan-daang milyon. Ang isang magandang bagay ay ang mga patunay ng mga hack ay available on-chain magpakailanman."
Developer ng kabastusan: huwag gamitin ang tool na ito!
Anonymous na developer ng kalapastanganan, na gumagamit ng moniker na 'johguse' sa Github, sinabi na "inabandona" nila ang proyekto ilang taon na ang nakalipas matapos malaman ang tungkol sa "mga pangunahing isyu sa seguridad sa pagbuo ng mga pribadong key."
"Lubos kong ipinapayo laban sa paggamit ng tool na ito sa kasalukuyang estado nito. Ang code ay hindi makakatanggap ng anumang mga update at iniwan ko ito sa isang uncompilable na estado. Gumamit ng iba!" idinagdag ng developer.
Gumagamit ang Ethereum ng kumbinasyon ng mga pampubliko at pribadong key upang makabuo ng mga address ng wallet – isang mahabang listahan ng mga random na alphanumeric na character. Ang mga may pribadong susi sa isang address ay magagawang pahintulutan ang paglipat ng mga pondo mula sa isang account patungo sa isa pa, na nagpapatunay na sila ang may-ari ng pera.
Gayunpaman, ang mga vanity address ay medyo naiiba. Idinetalye ng 1inch na ang Profanity, isang sikat at "highly efficient" na tool, ay nagbigay-daan sa mga user na lumikha ng milyun-milyong address sa bawat segundo at hinanap ang mga string ng mga titik at numero na hiniling ng mga user para sa isang pasadyang address ng wallet.
Sinabi ni 1inch na ang paraan na ginamit ng Profanity upang bumuo ng mga address ay hindi foolproof at na ang mga pampublikong key mula sa mga vanity address ay maaaring kalkulahin gamit ang mga malupit na pag-atake.
"Ilang araw ang nakalipas, nakamit ng mga 1inch na contributor ang proof-of-concept code na nagpapahintulot sa kanila na mabawi ang mga pribadong key mula sa anumang vanity address na nabuo gamit ang Profanity sa halos parehong oras na kinakailangan upang mabuo ang vanity address na iyon," paliwanag nito.
Pagtanggi sa pananagutan
Ang lahat ng impormasyon na nilalaman sa aming website ay nai-publish sa mabuting pananampalataya at para sa pangkalahatang mga layunin ng impormasyon lamang. Anumang pagkilos na gagawin ng mambabasa sa impormasyong matatagpuan sa aming website ay mahigpit na nasa kanilang sariling peligro.
Pinagmulan: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/