Įsilaužimai ir išnaudojimai ir toliau kamuoja decentralizuotas finansavimas (DeFi) sektoriuje, nes dar vienas piniginės adresas prisijungia prie DeFi aukų sąrašo, kurie kartu prarado daugiau nei 1.6 mlrd.
„Blockchain“ saugos įmonės „PeckShield“ paskelbtame įspėjime buvo aptiktas įsilaužėlis, pavogęs 732 eterį (ETH), apie 950,000 XNUMX USD, iš adreso, sukurto naudojant Ethereum piniginės adresų generatorių, vadinamą Profanity. Išsiurbę piniginę, išnaudotojai kriptovaliutą nusiuntė neseniai sankcionuotiems kriptovaliutų maišytuvas Tornado Cash.
#PeckShieldAlert Panašu, kad 950x0F pavogė 9731 732 USD vertės kriptovaliutą iš „Ethereum“ „tuštybės adreso“, sugeneruoto naudojant įrankį, vadinamą Profanity. Eksploatatorius jau perdavė ~XNUMX $ ETH į maišytuvą pic.twitter.com/QOZfnE49H4
– „PeckShieldAlert“ (@PeckShieldAlert) Rugsėjis 26, 2022
Tuštybės adresai yra pritaikyti kriptovaliutų piniginės adresai, kurie generuojami įtraukiant savininko pasirinktus žodžius arba konkrečius simbolius. Tačiau, kaip pažymėjo naujausi išnaudojimai, tuštybių adresų saugumas išlieka abejotinas.
Anksčiau rugsėjo mėn. decentralizuotų mainų (DEX) agregatorius 1 colio tinklas perspėjo bendruomenės narius, kad jų adresai nėra saugūs, jei juos sukūrėme naudodami nešvankybę. DEX iškvietė kriptovaliutų turėtojus su tuštybės adresais nedelsiant perleisti savo turtą. Remiantis 1 coliu, adresų generatorius naudojo atsitiktinį 32 bitų vektorių 256 bitų privatiems raktams paimti, o tai reiškia, kad jam trūksta saugumo.
Po DEX agregatoriaus įspėjimų, blokų grandinės tyrėjas ZachXBT paskelbė, kad išnaudojus Profanity pažeidžiamumą kai kuriems įsilaužėliams jau pavyko atsikratyti 3.3 mln. USD vertės skaitmeninio turto.
Susiję: Balta skrybėlė: grąžinau didžiąją dalį pavogtų Nomad lėšų ir gavau tik šį kvailą NFT
Rugsėjo 20 d. Jungtinėje Karalystėje įsikūrusi kriptovaliutų rinkos kūrėja patyrė išnaudojimą atnešė 160 milijonų dolerių nuostolių. Pasak mokslininko Ajay Dhingra, išnaudojimas galėjo būti dėl to, kad buvo pažeista įmonės karšta piniginė ir manipuliuojama išmaniosios sutarties klaida. Evgeny Gaevoy, įmonės įkūrėjas ir generalinis direktorius, paragino užpuolikus susisiekti, nes jie yra pasirengę traktuoti išnaudojimą kaip baltos kepurės įsilaužimą.
Šaltinis: https://cointelegraph.com/news/almost-1m-in-crypto-stolen-from-vanity-address-exploit