Хакеру вдалося викрасти криптовалюти на суму 3.3 мільйона доларів з кількох адрес Ethereum, згенерованих за допомогою інструменту «Нецензурна лексика». Кошти були вичерпані навіть після того, як агрегатор децентралізованого обміну 1inch попередив користувачів про виявлення серйозної вразливості, що ставить під загрозу мільйони доларів.
Раніше він радив користувачам, які володіють адресами гаманців, згенерованими за допомогою інструменту Profanity, перенести свої активи в інший гаманець.
Звіт про безпеку 1 дюйм
На початку 2022 року учасники 1inch помітили, що Profanity використовував випадковий 32-бітний вектор для заповнення 256-бітних закритих ключів, і підозрювали, що це може бути небезпечним. Під час подальшого розслідування було помічено більше підозрілої активності, яка сигналізувала про те, що гаманці Profanity були скомпрометовані.
«Учасники 1inch перевірили найбагатші адреси марнославства в популярних мережах і дійшли висновку, що більшість із них не були створені за допомогою інструменту нецензурної лексики. Але нецензурна лексика є одним з найпопулярніших засобів завдяки своїй високій ефективності. На жаль, це могло означати лише те, що більшість гаманців Profanity були таємно зламані».
Згідно з 1inch, ненормативна лексика є популярним і «високоефективним» інструментом, за допомогою якого користувачі можуть створювати мільйони адрес за секунду. Однак процедура, використана Profanity для генерації адрес, також не була бездоганною та була вразливою до атак.
Розкриття безпеки звітом опублікований 1inch минулого тижня також зазначив, що вразливість могла дозволити хакерам «таємно» викрадати мільйони доларів з гаманців користувачів Profanity протягом багатьох років. Наразі автори намагаються визначити всі скомпрометовані персональні адреси.
Невдовзі після попередження дослідник блокчейну ZachXBT повідомив про атаку, яка витягла понад 3 мільйони доларів США. На щастя, його чірікать допоміг користувачеві врятувати 1.2 мільйона доларів у криптовалюті та NFT від хакера, який мав доступ до його гаманця.
Ненормативна лексика. Розробники відмовилися від проекту
За словами Тала Б’єрі, керівника безпеки ZenGo та головного технічного директора, шкідливі об’єкти може «сиділи» на вразливості, намагаючись заволодіти якомога більшою кількістю приватних ключів уражених помилками ненормативних адрес, згенерованих ненормативними словами, перш ніж уразливість було виявлено. Однак вони вивели готівку після того, як його оприлюднили 1 дюйм.
Тим часом один із розробників Profanity, який на Github носить псевдонім johguse, заявив, що вони вже «кинули» проект кілька років тому. The коментар щодо того самого прочитання,
«Цей проект був мною залишений пару років тому. Мені було звернуто увагу на фундаментальні питання безпеки під час генерації закритих ключів. Я наполегливо не рекомендую використовувати цей інструмент у його поточному стані. Це сховище незабаром буде додатково оновлено додатковою інформацією щодо цієї критичної проблеми».
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/