Gedecentraliseerde exchange-aggregator 1inch beweerde op 15 september een ernstige kwetsbaarheid te hebben ontdekt in Ethereum ijdelheid adres genererende tool Godslastering. Dit heeft het potentieel om miljoenen dollars aan gebruikersgeld in gevaar te brengen.
1inch-oprichter en CEO Anton Bukov waarschuwde ethereum-gebruikers in a tweet dat "fondsen geen Safu zijn", crypto-jargon dat wordt gebruikt om uit te drukken dat gebruikersfondsen het risico lopen verloren te gaan na een hacken of exploiteren.
“Breng al uw activa over naar een andere portemonnee zo snel mogelijk”, zei 1inch Network later in een veiligheid verslag. "Als je Profanity hebt gebruikt om een vanity smart contract-adres te krijgen, zorg er dan voor dat je de eigenaren van dat slimme contract verandert."
Honderden miljoenen dollars in gevaar
Godslastering is een tool waarmee Ethereum-gebruikers 'ijdelheidsadressen' kunnen maken, een soort aangepaste crypto-portefeuilles die herkenbare namen of nummers bevatten. De populaire tool werd ergens in 2017 gelanceerd.
In zijn rapport legde 1inch uit dat de privésleutels van adressen die op Profanity zijn gegenereerd, kunnen worden berekend met behulp van brute force-aanvallen. Het beweerde dat kwetsbaarheid Mogelijk hebben hackers jarenlang "in het geheim" miljoenen dollars uit de portemonnee van Profanity-gebruikers kunnen overhevelen.
"Inzenders van 1 inch proberen nog steeds alle ijdelheidsadressen te achterhalen die zijn gehackt", zei de outfit en voegde eraan toe:
“Het is geen eenvoudige taak, maar op dit moment lijkt het erop dat tientallen miljoenen dollars aan cryptocurrency kunnen worden gestolen, zo niet honderden miljoenen. Een goede zaak is dat bewijzen van hacks voor altijd on-chain beschikbaar zijn.”
Profanity-ontwikkelaar: gebruik deze tool niet!
Profanity anonieme ontwikkelaar, die op Github de bijnaam 'johguse' draagt, zei dat ze het project een paar jaar geleden hebben "verlaten" nadat ze hadden ontdekt over "fundamentele beveiligingsproblemen bij het genereren van privésleutels".
“Ik raad ten zeerste af om deze tool in zijn huidige staat te gebruiken. De code krijgt geen updates en ik heb hem in een niet-compileerbare staat gelaten. Gebruik iets anders!” de ontwikkelaar toegevoegd.
Ethereum gebruikt een combinatie van openbare en privésleutels om portemonnee-adressen te genereren - een lange lijst met willekeurige alfanumerieke tekens. Degenen die de privésleutel van een adres hebben, kunnen de overdracht van geld van de ene rekening naar de andere autoriseren en bewijzen dat ze de eigenaar van het geld zijn.
Vanity-adressen worden echter enigszins anders gegenereerd. 1inch gaf aan dat Profanity, een populaire en "zeer efficiënte" tool, gebruikers in staat stelde miljoenen adressen per seconde te creëren en te zoeken naar die reeksen letters en cijfers die door gebruikers werden gevraagd voor een op maat gemaakt portemonnee-adres.
1inch zei dat de methode die door Profanity werd gebruikt om de adressen te genereren niet onfeilbaar was en dat openbare sleutels van ijdelheidsadressen konden worden berekend met brute force-aanvallen.
"Een paar dagen geleden bereikten 1-inch bijdragers een proof-of-concept-code waarmee ze privésleutels konden herstellen van elk vanity-adres dat met Profanity was gegenereerd op bijna hetzelfde moment als dat nodig was om dat vanity-adres te genereren", legde het uit.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/