Detsentraliseeritud vahetuse koguja 1inch väitis 15. septembril, et avastas riigis tõsise haavatavuse Ethereum edevusaadressi genereerimise tööriist Roppused. See võib seada ohtu miljoneid dollareid kasutaja raha.
1-tollise asutaja ja tegevjuht Anton Bukov hoiatas Ethereumi kasutajaid a piiksuma et "fondid ei ole Safu", kasutatakse krüptosõnasõna, et väljendada, et kasutaja raha on pärast häkkida või ära kasutada.
„Viige kõik oma varad üle teisele rahakott niipea kui võimalik,” ütles 1inch Network hiljem a turvalisus aru. "Kui kasutasite edevusliku nutika lepingu aadressi hankimiseks Profanity'i, muutke kindlasti selle nutika lepingu omanikke."
Sajad miljonid dollarid on ohus
Roppused on tööriist, mis võimaldab Ethereumi kasutajatel luua "edevaadresse", mis on teatud tüüpi kohandatud krüptorahakotid, mis sisaldavad äratuntavaid nimesid või numbreid. Populaarne tööriist käivitati millalgi 2017. aastal.
1inch selgitas oma aruandes, et Profanity'is loodud aadresside privaatvõtmeid saab arvutada toore jõu rünnakute abil. See väitis, haavatavus võis häkkeritel aastaid "salaja" sifoonida Profanity kasutajate rahakotist miljoneid dollareid.
"1-tollised kaastöötajad püüavad ikka veel kindlaks teha kõiki häkitud edevusaadresse," ütles varustus ja lisas:
"See pole lihtne ülesanne, kuid praegu tundub, et krüptovaluutat võidakse varastada kümneid miljoneid dollareid, kui mitte sadu miljoneid. Üks hea asi on see, et häkkimise tõendid on ketis igavesti saadaval.
Roppude arendaja: ärge kasutage seda tööriista!
Roppude anonüümne arendaja, kes kasutab Githubis hüüdnime "johguse", ütles et nad "loobusid" projektist paar aastat tagasi pärast seda, kui said teada "põhilistest turvaprobleemidest privaatvõtmete genereerimisel".
"Soovitan tungivalt seda tööriista praeguses olekus mitte kasutada. Kood ei saa värskendusi ja olen jätnud selle kompileerimata olekusse. Kasutage midagi muud!" lisas arendaja.
Ethereum kasutab rahakoti aadresside genereerimiseks avalike ja privaatvõtmete kombinatsiooni – pikk loend juhuslikest tähtnumbrilistest märkidest. Need, kellel on aadressi privaatvõti, saavad lubada raha ülekandmist ühelt kontolt teisele, tõestades, et nad omavad raha.
Edevusaadresse genereeritakse aga mõnevõrra erinevalt. 1-tolline üksikasjalikult kirjeldas, et Profanity, populaarne ja "väga tõhus" tööriist, võimaldas kasutajatel luua miljoneid aadresse sekundis ja otsis neid tähti ja numbreid, mida kasutajad nõudsid rahakotiaadressi jaoks.
1-tolline ütles, et Profanity'i aadresside genereerimiseks kasutatud meetod ei olnud lollikindel ja et edevusaadresside avalikke võtmeid saab arvutada toore jõu rünnakutega.
"Mõni päev tagasi saavutasid 1-tollised kaastöötajad kontseptsiooni tõestuskoodi, mis võimaldas neil taastada privaatvõtmed mis tahes edevusaadressilt, mis on loodud Profanityga peaaegu samal ajal, kui oli vaja selle edevusaadressi genereerimiseks," selgitas ta.
Kaebused
Kogu meie veebisaidil sisalduv teave avaldatakse heas usus ja ainult üldiseks teavitamiseks. Mis tahes toimingud, mida lugeja võtab meie veebisaidil leiduva teabe põhjal, on rangelt tema enda vastutusel.
Allikas: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/