一名黑客設法從使用“褻瀆”工俱生成的幾個以太坊地址中竊取了價值 3.3 萬美元的加密貨幣。 即使在去中心化交易所聚合器 1inch 警告用戶發現一個嚴重的漏洞會危及數百萬美元的風險之後,這些資金也被耗盡了。
它之前曾建議擁有使用褻瀆工俱生成的錢包地址的用戶將他們的資產轉移到不同的錢包。
1英寸安全報告
2022 年初,1inch 貢獻者觀察到 Profanity 使用隨機 32 位向量來播種 256 位私鑰,並懷疑它可能不安全。 經過進一步調查,發現了更多可疑活動,表明 Profanity 錢包已被盜用。
“1inch 貢獻者檢查了流行網絡上最富有的虛榮地址,並得出結論,其中大多數不是由 Profanity 工具創建的。 但褻瀆是最流行的工具之一,因為它的效率很高。 可悲的是,這只能意味著大部分 Profanity 錢包都被秘密入侵了。”
據 1inch 稱,Profanity 恰好是一種流行且“高效”的工具,用戶可以使用它每秒創建數百萬個地址。 然而,Profanity 用於生成地址的程序也並非完美無缺,並且容易受到攻擊。
安全披露 report 上週發布的 1inch 還指出,該漏洞可能使黑客多年來“秘密”從 Profanity 用戶的錢包中竊取數百萬美元。 貢獻者目前正試圖確定所有受損的虛榮地址。
警告發出後不久,區塊鏈調查員 ZachXBT 通知了這次攻擊,該攻擊消耗了超過 3 萬美元的資金。 幸運的是,他的 鳴叫 幫助用戶從有權訪問其錢包的黑客手中節省了 1.2 萬美元的加密貨幣和 NFT。
褻瀆開發者放棄項目
ZenGo 的安全主管兼首席技術官 Tal Be'ery 表示,惡意實體 可以 一直“坐在”該漏洞上,試圖在檢測到漏洞之前盡可能多地獲得漏洞百出的褻瀆生成的虛榮地址的私鑰。 然而,在被公開曝光 1 英寸後,他們就套現了。
與此同時,一位在 Github 上化名為“johguse”的 Profanity 開發人員表示,他們幾年前已經“放棄”了該項目。 這 評論 關於相同的閱讀,
“這個項目幾年前被我放棄了。 私鑰生成中的基本安全問題引起了我的注意。 我強烈建議不要在當前狀態下使用此工具。 該存儲庫將很快進一步更新,提供有關此關鍵問題的更多信息。”
資料來源:https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/