Decentralizuotas mainų kaupiklis 1inch rugsėjo 15 d. teigė atradę didelį pažeidžiamumą Ethereum tuštybės adresų generavimo įrankis Profanity. Tai gali kelti pavojų milijonams dolerių vartotojų pinigams.
1 colio įkūrėjas ir generalinis direktorius Antonas Bukovas perspėjo ethereum vartotojus Čivināšana „lėšos nėra Safu“, kriptovaliuta, naudojama norint išreikšti, kad vartotojų lėšos gali būti prarastos po nulaužti ar išnaudoti.
„Perkelkite visą savo turtą į kitą piniginė kaip galima greičiau“, – vėliau sakė 1 colio tinklas saugumas pranešti. „Jei naudojote nešvankybę norėdami gauti išmaniosios sutarties adresą, būtinai pakeiskite tos išmaniosios sutarties savininkus.
Pavojus šimtams milijonų dolerių
Nešvankybės yra įrankis, leidžiantis Ethereum vartotojams sukurti „tuštybės adresus“ – tinkintų kriptovaliutų piniginių tipą, kuriuose yra atpažįstami vardai ar numeriai. Populiarus įrankis buvo pristatytas 2017 m.
Savo ataskaitoje 1inch paaiškino, kad privatūs adresų, sugeneruotų naudojant Profanity, raktai gali būti apskaičiuoti naudojant brutalios jėgos atakas. Jis teigė, kad pažeidžiamumas galėjo leisti įsilaužėliams ilgus metus „slapta“ iš „Profanity“ naudotojų piniginės išsiurbti milijonus dolerių.
„1 colio bendradarbiai vis dar bando nustatyti visus slaptus adresus, į kuriuos buvo įsilaužta“, – sakė apranga ir pridūrė:
„Tai nėra paprasta užduotis, tačiau šiuo metu atrodo, kad gali būti pavogta dešimtys milijonų dolerių kriptovaliutos, jei ne šimtai milijonų. Vienas geras dalykas yra tai, kad įsilaužimų įrodymai yra prieinami grandinėje amžinai.
Nešvankybių kūrėjas: nenaudokite šio įrankio!
Anoniminis nešvankybių kūrėjas, „Github“ pravardžiuojamas „johguse“, sakė kad jie „atsisakė“ projekto prieš kelerius metus, sužinoję apie „pagrindines saugumo problemas kuriant privačius raktus“.
„Primygtinai rekomenduoju nenaudoti šios priemonės dabartinės būklės. Kodas negaus jokių atnaujinimų ir palikau jį nesukompiliuojamoje būsenoje. Naudokite ką nors kita! – pridūrė kūrėjas.
Ethereum naudoja viešųjų ir privačių raktų derinį piniginės adresams generuoti – ilgą atsitiktinių raidinių ir skaitmeninių simbolių sąrašą. Tie, kurie turi privatų adreso raktą, gali leisti pervesti lėšas iš vienos sąskaitos į kitą, įrodydami, kad jiems priklauso pinigai.
Tačiau tuštybės adresai generuojami šiek tiek kitaip. 1 colio detalizavo, kad Profanity, populiarus ir „labai efektyvus“ įrankis, leido vartotojams sukurti milijonus adresų per sekundę ir ieškojo tų raidžių ir skaičių eilučių, kurių naudotojai paprašė, kad gautų specialų piniginės adresą.
1 colis teigė, kad Profanity naudojamas adresų generavimo metodas nebuvo patikimas ir kad viešieji raktai iš tuščių adresų gali būti apskaičiuoti naudojant brutalios jėgos atakas.
„Prieš kelias dienas 1 colio bendraautoriai pasiekė koncepcijos įrodymo kodą, leidžiantį atkurti privačius raktus iš bet kurio nešvankybės adreso, sugeneruoto naudojant Profanity, beveik tuo pačiu metu, kai reikėjo sugeneruoti tą tuščią adresą“, – aiškinama.
Atsakomybės neigimas
Visa mūsų svetainėje esanti informacija skelbiama sąžiningai ir tik bendro pobūdžio informacijos tikslais. Bet kokie veiksmai, kuriuos skaitytojas imasi remdamasis mūsų svetainėje esančia informacija, yra griežtai jų pačių rizika.
Šaltinis: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/