Децентралізований біржовий агрегатор 1inch 15 вересня заявив, що виявив серйозну вразливість у Ethereum Інструмент для створення адрес марнославства. Це потенційно може поставити під загрозу мільйони доларів грошей користувачів.
Засновник і генеральний директор 1inch Антон Буков попередив користувачів ethereum чірікать що «кошти не є Safu», криптографічний жаргон, який використовується для вираження того, що кошти користувачів ризикують втратити після зламати або використовувати.
«Передайте всі свої активи іншому кошелек якнайшвидше», — повідомили пізніше в 1inch Network безпеку звітом. «Якщо ви використовували ненормативну лексику, щоб отримати марнославну адресу смарт-контракту, обов’язково змініть власника цього смарт-контракту».
Сотні мільйонів доларів під загрозою
Нецензурна лексика – це інструмент, який дозволяє користувачам Ethereum створювати «марні адреси», тип спеціальних крипто-гаманців, які містять у собі впізнавані імена або номери. Популярний інструмент був запущений десь у 2017 році.
У своєму звіті 1inch пояснив, що приватні ключі до адрес, згенеровані на Profanity, можна обчислити за допомогою атак грубої сили. Це стверджувало вразливість можливо, дозволив хакерам роками «таємно» викачувати мільйони доларів із гаманців користувачів Profanity.
«Користувачі 1inch все ще намагаються визначити всі адреси марнославства, які були зламані», — сказали в організації, додавши:
«Це непросте завдання, але на даний момент схоже, що десятки мільйонів доларів у криптовалюті можуть бути вкрадені, якщо не сотні мільйонів. Одна хороша річ полягає в тому, що докази хакерів доступні в мережі назавжди».
Розробник ненормативної лексики: не використовуйте цей інструмент!
Анонімний розробник ненормативної лексики під псевдонімом «johguse» на Github, сказав що вони «залишили» проект кілька років тому після того, як дізналися про «фундаментальні проблеми безпеки під час генерації закритих ключів».
«Я наполегливо не рекомендую використовувати цей інструмент у його поточному стані. Код не отримуватиме жодних оновлень, і я залишив його в некомпілюваному стані. Використовуйте щось інше!» додав розробник.
Ethereum використовує комбінацію відкритих і закритих ключів для створення адрес гаманців – довгого списку випадкових буквено-цифрових символів. Ті, хто має закритий ключ до адреси, можуть дозволити переказ коштів з одного рахунку на інший, підтверджуючи, що вони володіють грошима.
Однак приватні адреси генеруються дещо інакше. 1inch детально описав, що Profanity, популярний і «високоефективний» інструмент, дозволяв користувачам створювати мільйони адрес за секунду та здійснював пошук тих рядків літер і цифр, які запитували користувачі для індивідуальної адреси гаманця.
1inch сказав, що метод, використаний Profanity для створення адрес, не є безпомилковим і що відкриті ключі з марних адрес можна обчислити за допомогою атак грубої сили.
«Кілька днів тому учасники 1inch отримали код підтвердження концепції, який дозволяє їм відновлювати закриті ключі з будь-якої персональної адреси, згенерованої за допомогою Profanity, майже в той самий час, який був потрібний для створення цієї персональної адреси», — пояснили в ньому.
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/