Një haker arriti të vidhte kriptovaluta me vlerë 3.3 milionë dollarë nga disa adresa Ethereum të krijuara me mjetin “Profanity”. Fondet u shteruan edhe pasi grumbulluesi i decentralizuar i shkëmbimit 1inch paralajmëroi përdoruesit për zbulimin e një cenueshmërie të rëndë që rrezikonte miliona dollarë.
Më parë kishte këshilluar përdoruesit që zotëronin adresa kuletash të krijuara me mjetin Profanity për të transferuar asetet e tyre në një portofol tjetër.
Raporti i Sigurisë 1 inç
Në fillim të vitit 2022, kontribuesit 1 inç vunë re se Profanity përdori një vektor të rastësishëm 32-bit për të vendosur çelësat privatë 256-bit dhe dyshuan se mund të ishte i pasigurt. Pas hetimeve të mëtejshme, u vu re një aktivitet më i dyshimtë, duke sinjalizuar se kuletat e profanitetit ishin komprometuar.
“Kontribuesit 1 inç kontrolluan adresat më të pasura të vanity në rrjetet e njohura dhe arritën në përfundimin se shumica e tyre nuk ishin krijuar nga mjeti Profanity. Por Profanity është një nga mjetet më të njohura për shkak të efikasitetit të lartë. Mjerisht, kjo mund të nënkuptojë vetëm se shumica e kuletave të Profanity ishin hakuar fshehurazi.”
Sipas 1inch, Profanity ndodh të jetë një mjet popullor dhe "shumë efikas" me të cilin përdoruesit janë në gjendje të krijojnë miliona adresa në sekondë. Megjithatë, procedura e përdorur nga Profanity për të gjeneruar adresat nuk ishte as e përsosur dhe ishte e ndjeshme ndaj sulmeve.
Zbulimi i sigurisë raportojnë publikuar nga 1inch javën e kaluar gjithashtu vuri në dukje se dobësia mund t'u ketë mundësuar hakerëve të vjedhin "fshehurazi" miliona dollarë nga kuletat e përdoruesve të Profanity për vite me radhë. Kontribuesit aktualisht po përpiqen të përcaktojnë të gjitha adresat e komprometuara të kotësisë.
Menjëherë pas paralajmërimit, hetuesi i blockchain-it ZachXBT njoftoi se sulmi mbaronte mbi 3 milionë dollarë fonde. Për fat të mirë, e tij cicëroj ndihmoi një përdorues të kursente 1.2 milionë dollarë në kripto dhe NFT nga hakeri që kishte akses në portofolin e tyre.
Profanity Devs Abandon Project
Sipas Tal Be'ery, drejtuesi i sigurisë dhe zyrtari kryesor i teknologjisë së ZenGo, entitetet me qëllim të keq mund kanë qenë "ulur" mbi cenueshmërinë në një përpjekje për të marrë në dorë sa më shumë çelësa privatë të adresave të kota të krijuara nga profaniteti para se të zbulohej dobësia. Megjithatë, ata fituan para pasi u ekspozua publikisht me 1 inç.
Ndërkohë, një nga zhvilluesit e Profanity, i cili përdoret me pseudonimin 'johguse' në Github, tha se ata tashmë e kanë "braktisur" projektin disa vite më parë. Të koment në lidhje me të njëjtin lexim,
“Ky projekt u braktis nga unë disa vite më parë. Çështjet themelore të sigurisë në gjenerimin e çelësave privatë janë sjellë në vëmendjen time. Unë këshilloj fuqimisht të mos përdorni këtë mjet në gjendjen e tij aktuale. Kjo depo së shpejti do të përditësohet më tej me informacion shtesë në lidhje me këtë çështje kritike.”
Binance Pa pagesë 100 dollarë (ekskluzive): Përdoreni këtë link për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (Kushtet).
Oferta speciale PrimeXBT: Përdoreni këtë link për t'u regjistruar dhe futur kodin POTATO50 për të marrë deri në 7,000 dollarë në depozitat tuaja.
Burimi: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/