Vaevalt nädal pärast Wintermute'i häkkimist varastati edevusaadressi ärakasutamise kaudu krüptorahakotist 950,000 26 dollarit eetrit (ETH), selgub 2022. septembrist XNUMX.
Roppude tekitatud edevusaadressid rünnaku all
26. septembril plokiahela turvafirma Peckshield tweeted et häkker varastas 950,000 XNUMX dollari väärtuses eetrit (ETH) krüptoraha rahakotist. Häkkimisel oli palju sarnasusi eelmisel nädalal Wintermute'i 160 miljoni dollari suuruse rikkumisega.
PeckShield ütleb, et häkker varastas 732. septembril krüptoraha rahakotist 25 ETH ja segas selle sanktsioneeritud krüptosegamisteenuse abil teiste krüptofondidega, Tornaado sularaha. Seejärel kanti raha edukalt halva näitleja krüptorahakotti.
Eksperdid on paljastanud, et viimane vargus oli edukas edevusaadresside generaatori nõrkuse tõttu, mis avastati esmakordselt GitHubis 2022. aasta jaanuaris. Haavatavused avalikustati septembris, kui detsentraliseeritud vahetusagregaator, 1-tolline, avastas tööriistaga Profanity olulised turvaprobleemid. .
Asjatundmatute jaoks on tööriist Profanity rahakoti aadresside generaator, nagu juba mainitud. Kuigi suurem osa Ethereumi rahakoti aadressidest luuakse juhuslikult, luuakse need edevusaadressid kindla terminiga, näiteks kellegi nimega, kuskil aadressis.
Järgi 1 tolline, Paljud edevusaadressid, mis on loodud roppude tööriistaga, on nende ärakasutamise ohus, mis nõuaks toore jõu rünnakut. Kuigi selle rünnaku elluviimine nõuaks tohutut arvutusvõimsust, leiaksid häkkerid nende rünnakute sooritamist siiski rahuldust pakkuvaks harjutuseks, kui rahakotis on suur hulk krüptovarasid.
Krüpto- ja DeFi-vargused jätkuvad
Turvarikkumised ja häkkimised on krüptosektoris vohama hakanud Defi protokollid, mis saavutasid seni suurima löögi. Nädal tagasi varastasid häkkerid krüptoturu tegijalt 160 miljonit dollarit talvetumm. Hiljem selgus, et häkkimine sai võimalikuks tänu sellele, et ühel Wintermute'i aadressidel oli edevusaadressi omadused, mis võib olla haavatavuse juur.
Näib, et probleem läheb veelgi hullemaks. Vastavalt arus, 1.9. aasta juuli seisuga on küberkurjategijate häkkimine varastatud üle 2022 miljardi dollari krüptovara, mis on oluliselt rohkem kui 1.2. aastal samal ajal varastatud 2021 miljardit dollarit.
Ethereum Devs ujutab tagasivõtmise nupu ettepaneku
Krüptohäkkide sagenemine 2022. aastal on pannud teadlaste rühma koostama uue ettepaneku kahe uue Ethereumi märgistandardi kohta: ERC20R ja ERC721R. Kavandatavad uued märgistandardid on olemasolevate ERC20 ja ERC721 laiendused ning hõlmaksid nüüd võimalust pahatahtlikud tehingud tagasi pöörata.
Kavandatavad sümboolsed standardid ühendaksid sümboolse lepingu ja juhtimislepingu, mille puhul viimast kontrollib detsentraliseeritud kohtusüsteem. Ettepaneku kohaselt võivad häkkimise ohvriks langenud kasutajad esitada aruka juhtimislepingu külmutamise taotluse koos toetavate tõenditega.
Seejärel esitatakse külmutamistaotlus detsentraliseeritud kohtunike kogule, kes seejärel hääletab, et otsustada, kas rahaliste vahendite külmutamiseks või muul viisil on olulisi tõendeid.
Kui enamik kohtunikest hääletab peatamise poolt, algatatakse kohtuprotsess. Kohtuprotsessi ajal saavad mõlemad pooled (ohver ja häkker) esitada oma tõendid detsentraliseeritud kohtunikele, kes hääletavad uuesti tulemuse üle.
Kuigi idee võib vähendada turvarikkumiste riski, on paljud krüptoruumis seda ettepanekut kritiseerinud, öeldes, et sellised algatused lähevad vastuollu plokiahela tehnoloogia aluspõhimõtetega. Mõned kriitikud märkisid ka, et pöörduvusfunktsiooni lisamine ERC20 märgilepingutele võib muuta nende integreerimise detsentraliseeritud rakendustesse keeruliseks.
Allikas: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/