一名黑客從使用名為 Profanity 的工俱生成的多個以太坊地址中提取了 3.3 萬美元, 根據 至 鏈上數據 來自Etherscan。
匿名安全分析師 ZachXBT 首先 注意到 該漏洞利用發生在 16 月 XNUMX 日。
虛榮地址是一種自定義錢包,其中包含可識別的名稱或數字。 它們在加密領域主要用於炫耀,就像汽車司機為昂貴的車牌支付的賠率一樣。 這些地址可以使用某些工具創建,其中之一是褻瀆。
上週,去中心化交易所聚合器 1inch 出版 一份安全披露報告聲稱用褻瀆語言生成的“虛名地址”不安全。 每 1 英寸,鏈接到褻瀆生成地址的私鑰可以通過暴力計算提取。
但是 1inch 突出的安全問題無法及時修復以防止被利用。 D據名為“johguse”的匿名開發者稱,Profanity 的開發工作幾年前就停止了。
甚至在 1inch 的報告之前,johguse 已經認識到該工具的漏洞並且 警告 用戶反對其使用。 在隨後的調查中,鏈上偵探 ZachXBT 上週五聲稱,一名不知名的黑客似乎利用了相同的漏洞,在報告 3.3 英寸後不久從各種基於褻瀆的地址中提取了估計 1 萬美元的加密資產。 被盜資金從受害者地址轉移到新的以太坊 地址 相信是被黑客控制的
3.3 萬美元的漏洞利用引起了專家的評論,他們懷疑惡意黑客可能提前知道了安全問題。
“似乎攻擊者正在利用這個漏洞,試圖在漏洞被知道之前盡可能多地找到易受攻擊的褻瀆生成的虛榮地址的私鑰。 ZenGo 安全主管兼首席技術官 Tal Be'ery 說,一旦公開曝光 1 英寸,攻擊者就會在幾分鐘內從多個虛名地址中套現。 說過.
值得注意的是,1inch 在其報告中還表示,該漏洞此前曾被黑客用於價值數百萬美元的潛在攻擊。 為了得出結論,1inch 聲稱它能夠使用 GPU 芯片重新計算 Profanity 虛榮地址的一些私鑰。
“我們有從公鑰中恢復私鑰的概念證明。 因此,您可以向我們發送通過褻瀆生成的公鑰(而不是地址),我們將向您發回一個私人密鑰,”該團隊在一份聲明中告訴 The Block。
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/170971/hacker-stole-3-3-million-from-ethereum-vanity-addresses-created-with-profanity-tool?utm_source=rss&utm_medium=rss