Hacker stjal 3.3 millioner dollars fra Ethereum 'forfængelighedsadresser' oprettet med Profanity-værktøjet

En hacker drænede $3.3 millioner fra flere Ethereum-adresser genereret med et værktøj kaldet Profanity, ifølge til data på kæden fra Etherscan.

Den anonyme sikkerhedsanalytiker ZachXBT først bemærket udnyttelsen, som fandt sted den 16. september. 

Vanity-adresser er en type brugerdefineret tegnebog, der indeholder identificerbare navne eller numre i dem. De bruges i kryptosektoren primært til at vise sig frem, meget på den måde bilister betaler over odds for dyre nummerplader. Disse adresser kan oprettes ved hjælp af visse værktøjer, en af ​​dem er bandeord.

I sidste uge, decentraliseret udveksling aggregator 1inch offentliggjort en sikkerhedsafsløringsrapport, der hævder, at "forfængelighedsadresser" genereret med bandeord ikke var sikre. Per 1 tomme kunne de private nøgler knyttet til bandeord-genererede adresser udtrækkes med brute force-beregninger.

Men sikkerhedsproblemet fremhævet af 1inch kunne ikke rettes i tide for at forhindre en udnyttelse. DUdviklingsarbejdet på bandeord stoppede for et par år siden, ifølge dens anonyme udvikler, der går under "johguse."

Selv før 1inch's rapport, johguse havde erkendt sårbarheden i værktøjet og advarede brugere mod dets brug. I en efterfølgende undersøgelse hævdede en kædenær ZachXBT sidste fredag, at en ukendt hacker tilsyneladende havde udnyttet den samme sårbarhed til at dræne anslået $3.3 millioner i kryptoaktiver fra forskellige bandeord-baserede adresser kort efter rapporten med 1 tomme. De stjålne midler flyttede fra ofrenes adresser til et nyt Ethereum adresse menes at være kontrolleret af hackeren

Udnyttelsen på 3.3 millioner dollars har trukket kommentarer fra eksperter, der har mistanke om, at ondsindede hackere kan have kendt til sikkerhedsproblemet på forhånd. 

"Det ser ud til, at angriberne sad på denne sårbarhed og forsøgte at finde så mange private nøgler som muligt af sårbare bandeord-genererede vanity-adresser, før sårbarheden bliver kendt. Da angriberne først blev afsløret med 1 tomme, hævede angriberne ud på få minutter fra flere forfængelighedsadresser,” Tal Be'ery, sikkerhedschef og teknologichef hos ZenGo, sagde.

Navnlig havde 1inch også udtalt i sin rapport, at sårbarheden tidligere var blevet brugt af hackere til potentielle udnyttelser til en værdi af millioner af dollars. For at komme til sin konklusion hævdede 1inch, at den var i stand til at genberegne nogle af de private nøgler til Profanitys vanity-adresser med GPU-chips. 

"Vi har proof of concept for at gendanne en privat nøgle fra en offentlig nøgle. Så du kan sende os en offentlig nøgle (ikke adresse), der er genereret via bandeord, og vi sender dig en privat nøgle tilbage,” fortalte holdet til The Block i en erklæring.

© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.