Häkkeril õnnestus varastada 3.3 miljoni dollari väärtuses krüptovaluutasid mitmelt Ethereumi aadressilt, mis loodi tööriistaga "Roppused". Vahendid kulutati isegi pärast seda, kui detsentraliseeritud vahetusagregaator 1 tolli hoiatas kasutajaid tõsise haavatavuse avastamise eest, mis seab ohtu miljonid dollarid.
See oli varem soovitanud kasutajatel, kellel on roppus tööriistaga loodud rahakoti aadressid, oma varad teise rahakotti üle kanda.
1-tolline turvaaruanne
2022. aasta alguses täheldasid 1-tollised kaastöötajad, et Profanity kasutas 32-bitiste privaatvõtmete külvamiseks juhuslikku 256-bitist vektorit ja kahtlustas, et see võib olla ohtlik. Edasisel uurimisel täheldati kahtlasemat tegevust, mis andis märku, et Profanity rahakotid olid ohustatud.
„1-tollised kaastöötajad kontrollisid populaarsete võrkude kõige rikkalikumaid edevusaadresse ja jõudsid järeldusele, et enamik neist ei olnud Profanity tööriista loodud. Kuid Profanity on oma kõrge efektiivsuse tõttu üks populaarsemaid tööriistu. Kahjuks võis see tähendada ainult seda, et enamikku Profanity rahakottidest häkiti salaja.
1inch andmetel on Profanity populaarne ja "väga tõhus" tööriist, millega kasutajad saavad luua miljoneid aadresse sekundis. Kuid ka protseduur, mida Profanity kasutas aadresside genereerimiseks, ei olnud veatu ja oli rünnakutele vastuvõtlik.
Turvalisuse avalikustamine aru Eelmisel nädalal avaldatud 1inch märkis ka, et haavatavus võis võimaldada häkkeritel aastaid "salaja" varastada Profanity kasutajate rahakotist miljoneid dollareid. Kaasautorid püüavad praegu kindlaks teha kõik ohustatud edevusaadressid.
Varsti pärast hoiatust teatas plokiahela uurija ZachXBT rünnakust, mis kulutas üle 3 miljoni dollari raha. Õnneks tema piiksuma aitas kasutajal säästa 1.2 miljonit dollarit krüpto- ja NFT-sid häkkerilt, kellel oli juurdepääs nende rahakotile.
Profanity Devs Abandon Project
ZenGo turvajuhi ja tehnoloogiajuhi Tal Be'ery sõnul on pahatahtlikud üksused võiks on olnud haavatavuse kallal, püüdes enne haavatavuse avastamist hankida võimalikult palju privaatseid võtmeid vigadega roppustest loodud edevaadressidest. Kuid nad said raha välja pärast seda, kui see oli avalikult eksponeeritud 1 tolli võrra.
Vahepeal ütles üks Profanity arendajatest, kes kannab Githubis pseudonüümi 'johguse', et nad on projektist paar aastat tagasi juba "hülganud". The kommentaar sama lugemise kohta,
«Sellest projektist jätsin ma paar aastat tagasi kõrvale. Minu tähelepanu on juhitud privaatvõtmete genereerimise põhilistele turvaprobleemidele. Soovitan tungivalt seda tööriista praeguses olekus mitte kasutada. Seda hoidlat värskendatakse peagi täiendava teabega selle kriitilise probleemi kohta.
Binance tasuta 100 $ (eksklusiivne): Kasuta seda linki registreeruda ja saada Binance Futuresi esimesel kuul 100 dollarit tasuta ja 10% allahindlust (tingimused).
PrimeXBT eripakkumine: Kasuta seda linki registreerumiseks ja sisestage POTATO50 kood, et saada kuni 7,000 dollarit oma sissemaksete pealt.
Allikas: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/