Detsentraliseeritud vahetusagregaator 1-tolline võrk andis krüptoinvestoritele hoiatuse pärast seda, kui tuvastas haavatavuse Profanity, an Ethereum (ETH) edevusaadressi genereerimise tööriist. Vaatamata ennetavale hoiatusele suutsid häkkerid ilmselt ära teenida 3.3 miljoni dollari väärtuses krüptovaluutasid.
15. septembril paljastas 1Inch, et roppuste kasutamine ei ole turvaline, kuna kasutas 32-bitiste privaatvõtmete külvamiseks juhuslikku 256-bitist vektorit. Edasised uurimised osutasid ebaselgusele edevusaadresside loomisel, mis viitab sellele, et Profanity rahakottidesse häkiti salaja. Hoiatus tuli säutsu kujul, nagu allpool näidatud.
JOOKSE, TE LOLLID
⚠️ Spoiler: teie raha EI OLE SAFU, kui teie rahakoti aadress loodi roppude tööriistaga. Viige kõik oma varad võimalikult kiiresti üle teise rahakotti!
➡️ Loe lähemalt: https://t.co/oczK6tlEqG#Ethereum #crypto # haavatavus # 1 tolli
- 1 tolli võrk (@1 tolli) September 15, 2022
Hilisem uurimine plokiahela uurija ZachXBT poolt näitas, et haavatavuse edukas ärakasutamine võimaldas häkkeritel krüptoraha kulutada 3.3 miljonit dollarit.
Näib, et 3.3x0ae on selle haavatavuse tõttu ära kasutanud 6 miljoni dollari väärtuses krüptovarasid.
Huvitaval kombel oli Indexed Finance Exploiter esimene aadress, mille 0x6ae tühjendas.
Ründaja aadress:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq— ZachXBT (@zachxbt) September 17, 2022
Lisaks aitas ZachXBT kasutajal säästa üle 1.2 miljoni dollari krüpto- ja mitteliikuvad märgid (NFT) pärast teavitamist häkkerist, kellel oli juurdepääs kasutaja rahakotile. Pärast ilmutust kinnitasid paljud kasutajad, et nende raha on turvaline väljendatud:
"Wtf 6h pärast rünnakut olid mu aadressid endiselt vuln, kuid ründaja ei tühjendanud mind? oli 55k ohus, lol
Häkkerid kipuvad aga ründama suuremaid rahakotte, enne kui lähevad üle väiksema väärtusega rahakottide juurde. Roppude tööriistaga loodud rahakoti aadresse omavatel kasutajatel on soovitatud "Kõik oma varad võimalikult kiiresti üle teise rahakotti!" 1 tolli võrra.
Seotud: Õiguskaitseorganid saavad Chainalysise abil Ronini silla häkkimisest tagasi 30 miljonit dollarit
Kuigi mõned häkkerid eelistavad traditsioonilist meetodit kasutajate raha tühjendamiseks pärast ebaseaduslikku krüptorahakottidele juurdepääsu, proovivad teised uusi viise, kuidas petta investoreid oma privaatvõtmeid jagama.
Üks hiljutisi uuenduslikke pettusi hõlmas a YouTube'i kanal Elon Muski fabritseeritud videote esitamiseks krüptovaluutade üle arutlemine. 3. septembril häkiti Lõuna-Korea valitsuse YouTube'i kanal hetkeks sisse ja nimetati ümber krüptoga seotud videote otseülekannete jagamiseks.
Häkkimise algpõhjuseks tuvastati YouTube'i kanali ohustatud ID ja parool.
Allikas: https://cointelegraph.com/news/profanity-tool-vulnerability-drains-3-3m-despite-1inch-warning