幾位 1inch 貢獻者最近在 Profanity 中發現了一個漏洞。 基於以太坊的虛榮地址生成工具是網絡上最流行的名稱之一。
通常,以太坊用戶通過計算從隨機私鑰中提取的公鑰的哈希值來創建錢包。 雖然地址看起來是隨機的,但生成更多地址可以降低它們的隨機性。
該網絡充滿了工具,可以讓用戶在一秒鐘內創建數百萬個地址。 褻瀆是今年早些時候引起 1inch 貢獻者註意的一種工具。 由於該工具使用 32 位向量創建 256 位私鑰,因此被懷疑不安全。
以下是褻瀆如何運作的快速概述:-
- 隨機選擇四十億種子私鑰之一
- 將它們擴展為 XNUMX 萬個私鑰
- 從私鑰生成公鑰
- 反復增加它們,直到達到所需的虛榮地址
一群 1 英寸的開發人員認為,通過重新播種最初的 6 億個向量來重新計算每個虛榮地址是可能的。 該過程需要數月和數千個 GPU 來計算 7-XNUMX 個字符長的地址。
兩個月前,一位 1inch 貢獻者收到了一條關於 1inch 部署錢包可疑活動的消息。 來自不同項目的至少五名部署者被確認贏得了同一個空投。
可疑的是,這些資金也被轉移到了一個錢包裡。 這引發了對黑客攻擊的擔憂,1inch 開發人員開始對其進行調查。 他們的搜索在幾週前結束,因為他們發現可以比上面解釋的更有效地返回到初始種子密鑰。
這是如何完成的: -
- 從虛名地址中選擇一個公鑰
- 將其擴展到 XNUMX 萬個公鑰
- 在到達種子公鑰之前反復增加它們
貢獻者不斷挖掘,發現 Profanity 並沒有在幾個網絡上開發出最富有的虛榮地址。 這意味著許多褻瀆錢包被秘密破壞。
該團隊正試圖找出被破壞的錢包; 然而,這是一項極具挑戰性的任務。 有一件事是確定的:超過數千萬美元的加密貨幣可能已經被盜。 唯一的好處是可以在鏈上獲得違規證明。
來源:https://www.cryptonewsz.com/1inch-finds-vulnerability-in-address-generating-tool-profanity/