Децентрализованный агрегатор бирж 1inch заявил 15 сентября, что обнаружил серьезную уязвимость в Эфириум инструмент для создания тщеславных адресов Ненормативная лексика. Это может поставить под угрозу миллионы долларов в деньгах пользователей.
Основатель и генеральный директор 1inch Антон Буков предупредил пользователей эфириума в Tweet что «средства не являются Safu», криптографический жаргон, используемый для выражения того, что средства пользователей находятся под угрозой потери после взломать или использовать.
«Переведите все свои активы в другую бумажник как можно скорее», — позже заявили в 1inch Network. безопасность отчету. «Если вы использовали Ненормативную лексику, чтобы получить адрес смарт-контракта тщеславия, обязательно смените владельцев этого смарт-контракта».
Сотни миллионов долларов под угрозой
Ненормативная лексика — это инструмент, который позволяет пользователям Ethereum создавать «тщеславные адреса», тип пользовательских криптокошельков, которые содержат в себе узнаваемые имена или номера. Популярный инструмент был запущен где-то в 2017 году.
В своем отчете 1inch объяснила, что закрытые ключи к адресам, сгенерированные на Profanity, могут быть рассчитаны с использованием атак грубой силы. Он утверждал, что уязвимость возможно, позволил хакерам годами «тайно» выкачивать миллионы долларов из кошельков пользователей ненормативной лексики.
«Соавторы 1inch все еще пытаются определить все тщеславные адреса, которые были взломаны», — говорится в сообщении.
«Это непростая задача, но на данный момент похоже, что могут быть украдены десятки миллионов долларов в криптовалюте, если не сотни миллионов. Хорошо то, что доказательства взлома всегда доступны в сети».
Разработчик ненормативной лексики: не используйте этот инструмент!
Ненормативный анонимный разработчик, известный под ником johguse на Github, — сказал что они «забросили» проект несколько лет назад, узнав о «фундаментальных проблемах безопасности при генерации закрытых ключей».
«Я настоятельно не рекомендую использовать этот инструмент в его нынешнем состоянии. Код не будет получать никаких обновлений, и я оставил его в некомпилируемом состоянии. Используйте что-нибудь другое!» — добавил разработчик.
Ethereum использует комбинацию открытых и закрытых ключей для генерации адресов кошельков — длинного списка случайных буквенно-цифровых символов. Те, у кого есть закрытый ключ к адресу, могут разрешить перевод средств с одного счета на другой, доказав, что они владеют деньгами.
Однако тщеславные адреса генерируются несколько иначе. 1inch подробно рассказал, что Profanity, популярный и «высокоэффективный» инструмент, позволяет пользователям создавать миллионы адресов в секунду и искать те строки букв и цифр, которые запрашиваются пользователями для индивидуального адреса кошелька.
1inch сказал, что метод, используемый Profanity для генерации адресов, не был надежным и что открытые ключи из тщеславных адресов можно было вычислить с помощью атак грубой силы.
«Несколько дней назад участники 1inch получили код проверки концепции, позволяющий им восстанавливать закрытые ключи из любого тщеславного адреса, сгенерированного с помощью Profanity, почти в то же время, что и для создания этого тщеславного адреса», — поясняется в нем.
Отказ от ответственности
Вся информация, содержащаяся на нашем веб-сайте, публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, размещенной на нашем веб-сайте, совершаются исключительно на свой страх и риск.
Источник: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/