Haker je uspio ukrasti kriptovalute u vrijednosti od 3.3 miliona dolara sa nekoliko Ethereum adresa generiranih pomoću alata "Profanity". Sredstva su iscrpljena čak i nakon što je decentralizovani agregator razmene 1inch upozorio korisnike da su otkrili ozbiljnu ranjivost koja dovodi u opasnost milione dolara.
Prethodno je savjetovao korisnike koji posjeduju adrese novčanika generirane pomoću alata Profanity da prebace svoju imovinu u drugi novčanik.
Sigurnosni izvještaj od 1 inča
Početkom 2022., 1-inčni saradnici su primijetili da Profanity koristi nasumični 32-bitni vektor za postavljanje 256-bitnih privatnih ključeva i sumnjali su da bi to moglo biti nesigurno. Daljnjom istragom uočena je još sumnjiva aktivnost, što je signaliziralo da su Profanity novčanici kompromitovani.
“Saradnici 1 inča provjerili su najbogatije isprazne adrese na popularnim mrežama i došli do zaključka da većina njih nije kreirana alatom Profanity. Ali Profanity je jedan od najpopularnijih alata zbog svoje visoke efikasnosti. Nažalost, to bi moglo značiti samo da je većina Profanity novčanika tajno hakovana.”
Prema 1inch, Profanity je popularan i „veoma efikasan“ alat pomoću kojeg korisnici mogu kreirati milione adresa u sekundi. Međutim, ni procedura koju koristi Profanity za generiranje adresa nije bila besprijekorna i bila je podložna napadima.
Bezbednosno obelodanjivanje izvještaj objavljeno od strane 1inch prošle sedmice također je napomenulo da je ranjivost možda omogućila hakerima da godinama „tajno“ ukradu milione dolara iz novčanika korisnika Profanity. Saradnici trenutno pokušavaju utvrditi sve kompromitovane adrese.
Ubrzo nakon upozorenja, istražitelj blockchain-a ZachXBT obavijestio je o napadu koji je potrošio preko 3 miliona dolara sredstava. Srećom, njegova cvrkut pomogao korisniku da uštedi 1.2 miliona dolara u kripto i NFT-ovima od hakera koji je imao pristup njihovom novčaniku.
Profanity Devs Abandon Project
Prema Tal Be'eryju, ZenGo-ovom voditelju sigurnosti i glavnom tehnološkom službeniku, zlonamjerni entiteti mogao su „sjedili“ na ranjivosti u pokušaju da se dokopaju što više privatnih ključeva prožetih bugovima generisanih vulgarnim adresama prije nego što je ranjivost otkrivena. Međutim, unovčili su se nakon što je 1 inč javno otkrio.
U međuvremenu, jedan od programera Profanity, koji na Githubu nosi pseudonim 'johguse', rekao je da su oni već "napustili" projekat prije nekoliko godina. The komentar u vezi sa istim čitanjem,
“Ovaj projekat sam napustio prije nekoliko godina. Skrenuta su mi pažnja na fundamentalna sigurnosna pitanja u generiranju privatnih ključeva. Izričito ne savjetujem korištenje ovog alata u trenutnom stanju. Ovo spremište će uskoro biti dodatno ažurirano dodatnim informacijama o ovom kritičnom pitanju.”
Binance besplatno $100 (ekskluzivno): Koristite ovu vezu da se registrujete i dobijete 100 $ besplatno i 10% popusta na Binance Futures prvi mjesec (uslovi).
PrimeXBT posebna ponuda: Koristite ovu vezu da se registrujete i unesete POTATO50 kod da dobijete do $7,000 na svoje depozite.
Izvor: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/