Vanity adresai, sukurti naudojant Profanity tuštybės piniginės adresų generatorių, patyrė dar vieną įsilaužimą, dėl kurio buvo patirta 966 XNUMX USD nuostolių. Neseniai atliktas išnaudojimas po ankstesnio įsilaužimo panašiu būdu, nukreiptu į Ethereum tuštybės adresus, o bendras vardiklis yra nešvankybių įrankis.
Įsilaužėlis perkėlė 732 ETH į „Tornado Cash“.
Pirmaujanti saugos įmonė „PeckShield“ atskleidė išnaudojimą per oficialią „PeckShieldAlert“ chromo plėtinio „Twitter“ paskyrą. Įmonė atkreipė kriptovaliutų bendruomenės dėmesį į maždaug 732 ETH pervedimą (966 XNUMX USD, palyginti su spaudos metu vyraujančiais kursais).
#PeckShieldAlert Panašu, kad 950x0F pavogė 9731 732 USD vertės kriptovaliutą iš „Ethereum“ „tuštybės adreso“, sugeneruoto naudojant įrankį, vadinamą Profanity. Eksploatatorius jau perdavė ~XNUMX $ ETH į maišytuvą pic.twitter.com/QOZfnE49H4
– „PeckShieldAlert“ (@PeckShieldAlert) Rugsėjis 26, 2022
Kaip bandymas nuslėpti savo pėdsaką – piniginės adresą 0x9731F išnaudojime dalyvavęs pavogtas lėšas perdavė OFAC sankcionuotai „Tornado“ grynieji pinigai Maišytuvas. Įsilaužėlis paeiliui pervedė lėšas į „Tornado Cash“. Spaudos metu asmuo jau ištuštino piniginę, palikdamas 0.05 ETH likutį.
Įsilaužimas įvyko netrukus po to, kai keli kiti nešvankybių adresai, sukurti naudojant Profanity, prarado daugiau nei 3 mln. USD per išnaudojimą. Praėjusią savaitę pasirodė pranešimai apie įsilaužimą, dėl kurio buvo prarasta 3.3 mln. Atrodo, kad paveikti adresai buvo sukurti naudojant nešvankybę.
Panašu, kad nešvankybių įrankis turi saugumo problemų
Praėjusios savaitės išnaudojimas po kelių decentralizuoto 1 colio keitimosi agregatoriaus raginimų būti atsargiems, pabrėžiant nešvankybių pažeidžiamumą. „1inch“ per „Twitter“ paskelbė įspėjimą, prašydamas investuotojų pervesti savo lėšas nešvankybių adresais kitur.
Remiantis 1 coliu, Profanity praktika naudojant 32 bitų vektorių 256 bitų pradinei daliai generuoti lengvai paruošia jį atakai. Pranešimai apie įsilaužimą, kuris pasirodė rugsėjo 18 d., pasirodė praėjus trims dienoms po 1 colio įspėjimo.
Tuštybės adresai paprastai yra piniginės adresai, kuriuose yra vartotojo pasirinktų suasmenintų frazių. Vartotojai generuoja šiuos adresus naudodami tokius įrankius kaip Vanity-ETH ir Profanity. Nepaisant to, atrodo, kad nešvankybės turi pažeidžiamumo problemą.
Vienas iš įrankio kūrėjų patarė žmonių prieš jį naudoti, remdamasi saugumo sumetimais, nes pažymi, kad projekto atsisakė. Kaip anksčiau pranešė rinkos formuotojas Coingape Žiemos garsas neseniai patyrė įsilaužimą. Matyt, išnaudojimas buvo įmanomas dėl privataus rakto pažeidimo, atsiradusio dėl nešvankybių pažeidžiamumo.
Pateiktame turinyje gali būti asmeninė autoriaus nuomonė ir jis priklauso nuo rinkos sąlygų. Prieš investuodami į kriptovaliutas, atlikite rinkos tyrimus. Autorius ar leidinys neprisiima jokios atsakomybės už jūsų asmeninius finansinius nuostolius.
Šaltinis: https://coingape.com/hack-profanity-vanity-addresses/