Адреса тщеславия Эфириума привлекли более 3 миллионов долларов, несмотря на 1-дюймовое предупреждение

Хакеру удалось украсть криптовалюты на сумму 3,3 миллиона долларов с нескольких адресов Ethereum, сгенерированных с помощью инструмента «Ненормативная лексика». Средства были слиты даже после того, как агрегатор децентрализованных бирж 1inch предупредил пользователей об обнаружении серьезной уязвимости, которая подвергает риску миллионы долларов.

Ранее пользователям, владеющим адресами кошельков, сгенерированными с помощью инструмента Profanity, рекомендовалось перевести свои активы в другой кошелек.

1-дюймовый отчет о безопасности

В начале 2022 года участники 1inch заметили, что Profanity использует случайный 32-битный вектор для просмотра 256-битных закрытых ключей, и подозревали, что это может быть небезопасно. При дальнейшем расследовании была обнаружена еще одна подозрительная активность, свидетельствующая о том, что кошельки автостопщиков были скомпрометированы.

«1-дюймовые участники проверили самые богатые тщеславные адреса в популярных сетях и пришли к выводу, что большинство из них не были созданы инструментом для нецензурной брани. Но ненормативная лексика является одним из самых популярных инструментов из-за высокой эффективности. К сожалению, это может означать только то, что большинство кошельков с ненормативной лексикой были тайно взломаны».

Согласно 1inch, Profanity является популярным и «очень эффективным» инструментом, который пользователи могут использовать для создания миллионов адресов в секунду. Однако процедура, используемая Profanity для генерации адресов, также не была безупречной и была уязвима для атак.

В отчете о безопасности, опубликованном 1inch на прошлой неделе, также отмечается, что уязвимость могла позволить хакерам «тайно» красть миллионы долларов из кошельков пользователей Profanity в течение многих лет. Авторы в настоящее время пытаются найти все скомпрометированные тщеславные адреса.

Вскоре после предупреждения исследователь блокчейна ZachXBT объявил, что в результате атаки было потрачено более 3 миллионов долларов. К счастью, его щебетание помог пользователю сэкономить 1,2 миллиона долларов в криптовалюте и NFT от хакера, который имел доступ к его кошельку.

Проект отказа от ненормативной лексики Dev

По словам Тала Беэри, менеджера по безопасности и технического директора ZenGo, вредоносные устройства мог «сидел» на уязвимости, пытаясь получить как можно больше закрытых ключей к искаженным, сгенерированным ненормативной лексикой тщеславным адресам, прежде чем уязвимость была обнаружена. Тем не менее, они заплатили после того, как это было публично раскрыто на 1 дюйм.

Между тем, один из разработчиков Profanity, известный на Github под псевдонимом johguse, сказал, что они уже «покинули» проект несколько лет назад. Комментарий к тому же чтению,

“Пару лет назад я забросил этот проект. Мое внимание было привлечено к основным проблемам безопасности при генерации закрытого ключа. Я настоятельно рекомендую использовать этот инструмент в его текущем состоянии. Этот репозиторий скоро будет обновлен дополнительной информацией по этому вопросу. критическая ошибка.”