Mezi një javë pas hakimit të Wintermute, 950,000 dollarë në Ether (ETH) janë vjedhur nga një portofol kripto përmes një shfrytëzimi të "adresës së kotësisë", sipas raporteve të 26 shtatorit 2022.
Adresat e kota të krijuara nga profaniteti nën sulm
Më 26 shtator, Peckshield, një firmë e sigurisë blockchain tweeted se një haker vodhi 950,000 dollarë Ether (ETH) nga një portofol i kriptomonedhës. Hakimi kishte shumë ngjashmëri me shkeljen prej 160 milionë dollarësh në Wintermute javën e kaluar.
PeckShield thotë se hakeri vodhi 732 ETH nga një portofol i kriptomonedhës më 25 shtator dhe e përzjeu atë me fonde të tjera kripto, duke përdorur shërbimin e sanksionuar të kripto-përzierjes, Tornado Cash. Më pas fondet u transferuan me sukses në portofolin e kriptove të aktorit të keq.
Ekspertët kanë zbuluar se grabitja e fundit ishte e suksesshme për shkak të një dobësie në gjeneratorin e adresave të kota, i cili u zbulua për herë të parë në GitHub në janar 2022. Dobësitë u publikuan në shtator kur grumbulluesi i decentralizuar i shkëmbimeve, 1 inç zbuloi çështje themelore të sigurisë me mjetin Profanity .
Për ata që nuk janë iniciuar, mjeti Profanity është një gjenerues i adresave të portofolit të kotësisë, siç u përmend tashmë. Ndërsa shumica e adresave të portofolit Ethereum gjenerohen në mënyrë të rastësishme, këto adresa të kota krijohen me një term specifik, si emri i dikujt, diku brenda adresës.
Sipas 1 inç, Shumë adresa të kota që janë krijuar nga mjeti Profanity janë në rrezik të këtyre shfrytëzimeve të cilat do të kërkonin një sulm me forcë brutale. Ndërsa ekzekutimi i këtij sulmi do të kërkonte një sasi të madhe fuqie kompjuterike, hakerët do ta konsideronin ende kryerjen e këtyre sulmeve një ushtrim shpërblyes nëse një sasi e madhe e kriptove gjendet në portofol.
Crypto dhe DeFi Heists Vazhdojnë
Shkeljet e sigurisë dhe hakimet janë bërë të shfrenuara në sektorin e kriptove, me Defi protokollet kanë marrë goditjen më të madhe deri më tani. Një javë më parë, hakerët vodhën 160 milionë dollarë nga prodhuesi i tregut të kriptove Heshtja e dimrit. Më vonë u zbulua se hakimi u bë i mundur për shkak të një prej adresave të Wintermute që kishte vetitë e një adrese kotësie, e cila mund të jetë rrënja e cenueshmërisë.
Me sa duket, problemi duket se do të përkeqësohet edhe më shumë. Sipas raportojnës, Mbi 1.9 miliardë dollarë në kripto janë vjedhur nga hakerat e kriminelëve kibernetikë që nga korriku 2022, që është dukshëm më shumë se 1.2 miliardë dollarë të vjedhura në të njëjtën periudhë kohore në 2021.
Ethereum Devs notojnë propozimin e "Butonit të Zhbërjes".
Frekuenca në rritje e hakimeve të kriptove në vitin 2022 ka bërë që një grup studiuesish të formulojnë një propozim të ri për dy standarde të reja të tokenit Ethereum: ERC20R dhe ERC721R. Standardet e reja të tokenit të propozuara janë zgjerime të ERC20 dhe ERC721 ekzistuese dhe tani do të përfshijnë aftësinë për të rikthyer transaksionet me qëllim të keq.
Standardet e propozuara simbolike do të kombinonin një kontratë simbolike dhe një kontratë qeverisjeje ku kjo e fundit kontrollohet nga një sistem gjyqësor i decentralizuar. Sipas propozimit, përdoruesit që janë viktima të një hakeri mund të bëjnë një kërkesë për ngrirje në kontratën inteligjente të qeverisjes me prova mbështetëse.
Kërkesa për ngrirje do t'i ofrohet më pas një paneli gjyqtarësh të decentralizuar, të cilët më pas do të votojnë për të vendosur nëse ka prova thelbësore për ngrirjen e fondeve ose ndryshe.
Nëse shumica e gjyqtarëve votojnë në favor të ngrirjes, atëherë do të fillojë një gjykim. Gjatë gjykimit, të dyja palët (viktima dhe hakeri) mund t'i paraqesin provat e tyre gjyqtarëve të decentralizuar, të cilët do të votojnë sërish për rezultatin.
Megjithëse ideja ka potencialin për të reduktuar rrezikun e shkeljeve të sigurisë, shumë në hapësirën e kriptove e kanë kritikuar propozimin, duke thënë se nisma të tilla shkojnë kundër parimeve themeluese të teknologjisë blockchain. Disa kritikë theksuan gjithashtu se shtimi i një veçorie kthyeshmërie në kontratat e tokenit ERC20 mund ta bëjë sfidues integrimin e tyre në aplikacione të decentralizuara.
Burimi: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/