Jedva nedelju dana nakon hakovanja Wintermute, 950,000 dolara u Etheru (ETH) je ukradeno iz kripto novčanika putem eksploatacije „isprazna adresa“, prema izveštajima od 26. septembra 2022.
Vulgarne adrese su pod napadom
26. septembra, Peckshield, firma za zaštitu blokova tweeted da je haker ukrao eter u vrijednosti od 950,000 dolara (ETH) iz novčanika kriptovaluta. Hak je imao mnogo sličnosti sa provalom od 160 miliona dolara na Wintermute prošle sedmice.
PeckShield kaže da je haker ukrao 732 ETH iz novčanika kriptovaluta 25. septembra i pomiješao ga s drugim kripto fondovima koristeći odobrenu uslugu miješanja kriptovaluta, Tornado Cash. Sredstva su potom uspješno prebačena u kripto novčanik lošeg glumca.
Stručnjaci su otkrili da je posljednja pljačka bila uspješna zbog slabosti u generatoru adresa za ispraznost, koji je prvi put otkriven na GitHubu u januaru 2022. Ranjivosti su postale objavljene u septembru kada je decentralizirani agregator razmjene, 1inch otkrio fundamentalne sigurnosne probleme s alatom Profanity .
Za neupućene, alatka Profanity je generator adresa novčanika za ispraznost, kao što je već spomenuto. Dok se većina adresa Ethereum novčanika generira nasumično, ove isprazne adrese se kreiraju sa određenim terminom, poput nečijeg imena, negdje unutar adrese.
Prema 1 inč, Mnoge isprazne adrese koje su generirane pomoću alata Profanity su u opasnosti od ovih eksploatacija koje bi zahtijevale napad grubom silom. Iako bi izvođenje ovog napada zahtijevalo ogromnu količinu računarske snage, hakeri bi i dalje smatrali izvođenje ovih napada vrijednom vježbom ako je velika količina kriptovaluta sadržana u novčaniku.
Kripto i DeFi pljačke se nastavljaju
Sigurnosni proboji i hakovi postali su sve prisutniji u kripto sektoru, s Defi protokoli koji su zauzeli najveći udar do sada. Prije nedelju dana, hakeri su ukrali 160 miliona dolara od proizvođača kriptovaluta wintermute. Kasnije je otkriveno da je hakiranje omogućeno zbog toga što je jedna od Wintermuteovih adresa imala svojstva isprazne adrese, što bi moglo biti korijen ranjivosti.
Čini se da se problem još više pogoršava. Prema izvještajS, Više od 1.9 milijardi dolara u kriptoukradeno je od strane sajber kriminalnih hakova do jula 2022., što je znatno više od 1.2 milijarde dolara ukradenih u istom vremenskom periodu 2021. godine.
Ethereum programeri pokreću prijedlog “Dugme za poništavanje”.
Sve veća učestalost kripto hakova 2022. godine navela je grupu istraživača da formulišu novi prijedlog za dva nova standarda Ethereum tokena: ERC20R i ERC721R. Predloženi novi standardi tokena su proširenja postojećih ERC20 i ERC721 i sada bi uključivali mogućnost poništavanja zlonamjernih transakcija.
Predloženi standardi simbola kombinirali bi ugovor o simbolima i ugovor o upravljanju gdje je potonji pod kontrolom decentralizovanog pravosudnog sistema. Prema prijedlogu, korisnici koji su žrtve hakovanja mogli bi podnijeti zahtjev za zamrzavanje pametnog ugovora o upravljanju uz prateće dokaze.
Zahtjev za zamrzavanje će se zatim dostaviti vijeću decentraliziranih sudija, koji će potom glasati da odluče da li postoje značajni dokazi za zamrzavanje sredstava ili ne.
Ako većina sudija glasa za zamrzavanje, biće pokrenuto suđenje. Tokom suđenja, obe strane (žrtva i haker) mogu podneti svoje dokaze decentralizovanim sudijama, koji će ponovo glasati o ishodu.
Iako ideja ima potencijal da smanji rizik od narušavanja sigurnosti, mnogi u kripto prostoru kritizirali su prijedlog, rekavši da su takve inicijative protiv temeljnih principa blockchain tehnologije. Neki kritičari su također istakli da bi dodavanje funkcije reverzibilnosti ERC20 tokenskim ugovorima moglo učiniti izazovom njihovu integraciju u decentralizirane aplikacije.
Izvor: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/