Tin tặc đã đánh cắp 3.3 triệu đô la từ các 'địa chỉ hư ảo' của Ethereum được tạo bằng công cụ Tục tĩu

Một hacker đã tiêu hết 3.3 triệu đô la từ nhiều địa chỉ Ethereum được tạo bằng một công cụ có tên là tục tĩu, theo đến dữ liệu trên chuỗi từ Etherscan.

Nhà phân tích bảo mật ẩn danh ZachXBT đầu tiên nhận thấy việc khai thác, diễn ra vào ngày 16 tháng XNUMX. 

Địa chỉ vô nghĩa là một loại ví tùy chỉnh có chứa tên hoặc số có thể nhận dạng bên trong chúng. Chúng được sử dụng trong lĩnh vực tiền điện tử chủ yếu để thể hiện, giống như cách mà các tài xế ô tô trả tiền chênh lệch cho các biển số đắt tiền. Những địa chỉ này có thể được tạo bằng cách sử dụng một số công cụ nhất định, một trong số đó là Ngôn từ tục tĩu.

Tuần trước, công cụ tổng hợp trao đổi phi tập trung 1inch công bố một báo cáo tiết lộ bảo mật tuyên bố rằng “địa chỉ hư không” được tạo bằng Ngôn từ tục tĩu là không an toàn. Mỗi 1 inch, các khóa cá nhân được liên kết với các địa chỉ được tạo ra bằng ngôn từ tục tĩu có thể được trích xuất bằng các phép tính bạo lực.

Nhưng vấn đề bảo mật được nhấn mạnh bởi 1inch không thể được khắc phục kịp thời để ngăn chặn việc khai thác. DCông việc phát triển về Ngôn từ tục tĩu đã dừng cách đây vài năm, theo nhà phát triển ẩn danh “johguse”.

Ngay cả trước báo cáo của 1inch, johguse đã nhận ra lỗ hổng trong công cụ và cảnh báo người dùng chống lại việc sử dụng nó. Trong một cuộc điều tra sau đó, công ty quản lý trực tuyến ZachXBT vào thứ Sáu tuần trước đã tuyên bố rằng một tin tặc không xác định dường như đã khai thác cùng một lỗ hổng để rút đi ước tính 3.3 triệu đô la tài sản tiền điện tử từ các địa chỉ dựa trên tục tĩu ngay sau báo cáo 1 inch. Số tiền bị đánh cắp được chuyển từ địa chỉ của nạn nhân sang một Ethereum mới địa chỉ được cho là bị hacker kiểm soát

Vụ khai thác trị giá 3.3 triệu đô la đã thu hút nhiều bình luận từ các chuyên gia nghi ngờ rằng các tin tặc độc hại có thể đã biết trước về vấn đề bảo mật. 

“Có vẻ như những kẻ tấn công đang ngồi trên lỗ hổng này, cố gắng tìm càng nhiều khóa cá nhân càng tốt của các địa chỉ hư hỏng được tạo ra từ Tục tĩu dễ bị tấn công trước khi lỗ hổng được biết đến. Sau khi bị lộ 1 inch công khai, những kẻ tấn công đã rút tiền mặt trong vài phút từ nhiều địa chỉ phù phiếm ”, Tal Be'ery, giám đốc bảo mật và giám đốc công nghệ tại ZenGo, nói.

Đáng chú ý, 1inch cũng đã tuyên bố trong báo cáo của mình rằng lỗ hổng bảo mật trước đây đã được tin tặc sử dụng để khai thác tiềm năng trị giá hàng triệu đô la. Để đi đến kết luận của mình, 1inch tuyên bố rằng họ có thể tính toán lại một số khóa riêng của các địa chỉ phù phiếm của Tục tĩu bằng chip GPU. 

“Chúng tôi có bằng chứng về khái niệm khôi phục khóa cá nhân từ khóa công khai. Vì vậy, bạn có thể gửi cho chúng tôi một khóa công khai (không phải địa chỉ) được tạo thông qua Ngôn từ tục tĩu và chúng tôi sẽ gửi lại cho bạn một khóa riêng tư, ”nhóm nói với The Block trong một tuyên bố.

© 2022 Block Crypto, Inc. Mọi quyền được bảo lưu. Bài viết này được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.