Een hacker slaagde erin om $ 3.3 miljoen aan cryptocurrencies te stelen van verschillende Ethereum-adressen die waren gegenereerd met de tool "Profanity". Het geld werd opgebruikt, zelfs nadat de gedecentraliseerde exchange-aggregator 1inch gebruikers waarschuwde voor het ontdekken van een ernstige kwetsbaarheid die miljoenen dollars in gevaar bracht.
Het had eerder gebruikers geadviseerd die portemonnee-adressen bezitten die zijn gegenereerd met de Profanity-tool om hun activa over te zetten naar een andere portemonnee.
1-inch beveiligingsrapport
Begin 2022 merkten 1inch-bijdragers op dat Profanity een willekeurige 32-bits vector gebruikte om 256-bits privésleutels te seeden en vermoedden dat dit onveilig zou kunnen zijn. Bij verder onderzoek werd meer verdachte activiteit geconstateerd, wat aangeeft dat de Profanity-portefeuilles waren gecompromitteerd.
“De 1inch-bijdragers hebben de rijkste vanity-adressen op populaire netwerken gecontroleerd en kwamen tot de conclusie dat de meeste niet zijn gemaakt door de Profanity-tool. Maar godslastering is een van de meest populaire tools vanwege de hoge efficiëntie. Helaas kan dat alleen maar betekenen dat de meeste Profanity-wallets in het geheim zijn gehackt.
Volgens 1inch is Profanity een populaire en "zeer efficiënte" tool waarmee gebruikers miljoenen adressen per seconde kunnen creëren. De procedure die Profanity gebruikte om de adressen te genereren was echter ook niet vlekkeloos en vatbaar voor aanvallen.
De beveiligingsonthulling verslag die vorige week door 1inch werd gepubliceerd, merkte ook op dat de kwetsbaarheid hackers mogelijk jarenlang in staat heeft gesteld om "in het geheim" miljoenen dollars te stelen uit de portemonnee van Profanity-gebruikers. De bijdragers proberen momenteel alle gecompromitteerde vanity-adressen te achterhalen.
Kort na de waarschuwing meldde blockchain-onderzoeker ZachXBT de aanval die meer dan $ 3 miljoen aan fondsen opslokte. Gelukkig is zijn tweet hielp een gebruiker om $ 1.2 miljoen aan crypto en NFT's te besparen van de hacker die toegang had tot zijn portemonnee.
Godslastering Devs verlaten project
Volgens Tal Be'ery, ZenGo's security lead en chief technology officer, zijn de kwaadwillende entiteiten kon hebben op de kwetsbaarheid "zitten" in een poging om zoveel mogelijk privésleutels te bemachtigen van door bugs geteisterde door Profanity gegenereerde vanity-adressen voordat de kwetsbaarheid werd gedetecteerd. Ze werden echter uitbetaald nadat het door 1 inch openbaar was gemaakt.
Ondertussen zei een van de ontwikkelaars van Profanity, die op Github onder het pseudoniem 'johguse' gaat, dat ze het project een paar jaar geleden al hebben "verlaten". De commentaar over hetzelfde gelezen,
“Dit project werd een paar jaar geleden door mij opgegeven. Fundamentele beveiligingsproblemen bij het genereren van privésleutels zijn onder mijn aandacht gebracht. Ik raad ten zeerste af om deze tool in zijn huidige staat te gebruiken. Deze repository zal binnenkort verder worden bijgewerkt met aanvullende informatie over dit kritieke probleem.”
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/