Nagawa ng isang hacker na nakawin ang $3.3 milyong halaga ng mga cryptocurrencies mula sa ilang mga Ethereum address na nabuo gamit ang tool na "Profanity". Naubos ang mga pondo kahit na matapos na binalaan ng desentralisadong exchange aggregator na 1inch ang mga user tungkol sa pagtuklas ng matinding kahinaan na naglalagay sa panganib ng milyun-milyong dolyar.
Dati nitong pinayuhan ang mga user na nagmamay-ari ng mga address ng wallet na nabuo gamit ang Profanity tool na ilipat ang kanilang mga asset sa ibang wallet.
1 pulgadang Ulat sa Seguridad
Noong unang bahagi ng 2022, napansin ng mga 1inch na nag-aambag na gumamit ang Profanity ng random na 32-bit na vector upang mag-seed ng 256-bit na pribadong key at pinaghihinalaang maaaring hindi ito ligtas. Sa karagdagang pagsisiyasat, mas kahina-hinalang aktibidad ang napansin, na nagpapahiwatig na nakompromiso ang mga wallet ng Profanity.
“Sinuri ng mga 1inch na kontribyutor ang pinakamayamang vanity address sa mga sikat na network at napagpasyahan na karamihan sa mga ito ay hindi nilikha ng Profanity tool. Ngunit ang kabastusan ay isa sa mga pinakasikat na tool dahil sa mataas na kahusayan nito. Nakalulungkot, nangangahulugan lamang iyon na ang karamihan sa mga wallet ng Profanity ay lihim na na-hack."
Ayon sa 1inch, ang Profanity ay isang sikat at "napakahusay" na tool kung saan ang mga user ay nakakagawa ng milyun-milyong address sa bawat segundo. Gayunpaman, ang pamamaraang ginamit ng Profanity upang bumuo ng mga address ay hindi rin flawless at madaling kapitan ng mga pag-atake.
Ang pagsisiwalat ng seguridad ulat na inilathala ng 1inch noong nakaraang linggo ay nabanggit din na ang kahinaan ay maaaring nagbigay-daan sa mga hacker na "lihim" na magnakaw ng milyun-milyong dolyar mula sa mga wallet ng mga gumagamit ng Profanity sa loob ng maraming taon. Kasalukuyang sinusubukan ng mga kontribyutor na tukuyin ang lahat ng nakompromisong vanity address.
Di-nagtagal pagkatapos ng babala, inabisuhan ng imbestigador ng blockchain na si ZachXBT ang pag-atake na umuubos ng higit sa $3 milyon sa mga pondo. Sa kabutihang palad, ang kanyang tiririt tumulong sa isang user na makatipid ng $1.2 milyon sa crypto at NFT mula sa hacker na may access sa kanilang wallet.
Pag-abandona ng Proyekto ng mga Profanity Devs
Ayon kay Tal Be'ery, ang security lead at chief technology officer ng ZenGo, ang mga malisyosong entity maaari ay "nakaupo" sa kahinaan sa pagtatangkang makuha ang kanilang mga kamay sa pinakamaraming pribadong key hangga't maaari ng mga bug-ridden na vanity address na nabuo ng kabastusan bago matukoy ang kahinaan. Gayunpaman, nag-cash out sila matapos itong malantad sa publiko ng 1inch.
Samantala, sinabi ng isa sa mga developer ng Profanity, na gumagamit ng pseudonym na 'johguse' sa Github, na "inabandona" na nila ang proyekto ilang taon na ang nakakaraan. Ang puna tungkol sa parehong nabasa,
"Ang proyektong ito ay inabandona ko ilang taon na ang nakalilipas. Ang mga pangunahing isyu sa seguridad sa pagbuo ng mga pribadong key ay dinala sa aking pansin. Lubos kong ipinapayo laban sa paggamit ng tool na ito sa kasalukuyang estado nito. Malapit nang ma-update ang repositoryong ito na may karagdagang impormasyon tungkol sa kritikal na isyung ito.”
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/