Понедельник, 30 сентября, 2024

Вогон сегодня

Избранные новости из Галактики

Вогон сегодня
Криптовалюты

Тщеславные адреса Ethereum истощили более 3 миллионов долларов, несмотря на 1-дюймовое предупреждение

Вольфрамовый Куб

Хакеру удалось украсть криптовалюты на сумму 3,3 миллиона долларов с нескольких адресов Ethereum, сгенерированных с помощью инструмента «Ненормативная лексика». Средства также были истощены после того, как агрегатор децентрализованных бирж 1inch предупредил пользователей, что обнаружил серьезную уязвимость, которая подвергает риску миллионы долларов.

Ранее он советовал пользователям, у которых адреса кошельков были сгенерированы с помощью инструмента Profanity, перевести свои активы в другой кошелек.

1-дюймовый отчет о безопасности

В начале 2022 года участники 1-inch заметили, что Profanity использовала 32-битный случайный вектор для заполнения 256-битных закрытых ключей, и подозревали, что это может быть опасно. При дальнейшем расследовании была обнаружена еще одна подозрительная активность, сообщающая о том, что кошельки Profanity были скомпрометированы.

«1-дюймовые участники проверили самые богатые тщеславные адреса в популярных сетях и пришли к выводу, что большинство из них не были созданы инструментом Profanity. Но Profanity — один из самых популярных инструментов благодаря высокой эффективности. К сожалению, это могло означать только то, что большинство кошельков Profanity были тайно взломаны. "

Согласно 1inch, Profanity является популярным и «высокоэффективным» инструментом, с помощью которого пользователи могут создавать миллионы адресов в секунду. Однако даже процедура, используемая Profanity для генерации адресов, не была безупречной и была подвержена атакам.

Отчет о раскрытии информации о безопасности, опубликованный 1inch на прошлой неделе, также показал, что уязвимость могла позволить хакерам «тайно» красть миллионы долларов из кошельков пользователей Profanity в течение многих лет. Участники в настоящее время пытаются определить все скомпрометированные персональные адреса.

Сразу же после предупреждения исследователь блокчейна ZachXBT уведомил об атаке, которая истощила средства на сумму более 3 миллионов долларов. К счастью, его твит помог пользователю спасти 1,2 миллиона долларов в криптовалютах и ​​NFT от хакера, имевшего доступ к его кошельку.

Проект отказа от разработчиков вульгарности

По словам Тала Беэри, директора по безопасности и технического директора ZenGo, злоумышленники могли «сесть» на уязвимость, пытаясь заполучить как можно больше личных ключей адресов, сгенерированных ненормативной лексикой, пронизанной ошибками, прежде чем они обнаружена уязвимость. Тем не менее, они получили прибыль после того, как 1 дюйм был публично выставлен на обозрение.

Между тем, один из разработчиков Profanity, известный на Github под ником johguse, сказал, что уже «забросил» проект несколько лет назад. Комментарий к тому же чтению,

«Пару лет назад я забросил этот проект. Мое внимание привлекли фундаментальные проблемы безопасности при создании закрытых ключей. Я настоятельно не рекомендую использовать этот инструмент в его текущем состоянии. Этот репозиторий скоро будет обновлен дополнительной информацией по этой критической проблеме.

Пост Ethereum Vanity Addresses был распродан более чем на 3 миллиона долларов, несмотря на предупреждение в 1 дюйм , впервые появившееся на CryptoPotato .