Die Vanity-Adressen von Ethereum haben trotz der Warnung von 1inch über 3 Millionen Dollar verloren

Einem Hacker gelang es, Kryptowährungen im Wert von 3,3 Millionen US-Dollar von mehreren Ethereum-Adressen zu stehlen, die mit dem „Profanity“-Tool generiert wurden. Die Mittel wurden aufgebraucht, selbst nachdem der dezentrale Börsenaggregator 1inch die Benutzer vor der Entdeckung einer schwerwiegenden Schwachstelle gewarnt hatte, die Millionen von Dollar in Gefahr brachte.

Es hatte Benutzern zuvor geraten, Wallet-Adressen zu besitzen, die mit dem Profanity-Tool generiert wurden, ihre Vermögenswerte auf ein anderes Wallet zu übertragen.

1-Zoll-Sicherheitsbericht

Anfang 2022 beobachteten Mitwirkende von 1 Zoll, dass Profanity einen zufälligen 32-Bit-Vektor verwendete, um private 256-Bit-Schlüssel zu initiieren, und vermuteten, dass dies unsicher sein könnte. Bei weiteren Untersuchungen wurden weitere verdächtige Aktivitäten festgestellt, die darauf hindeuten, dass Profanity-Wallets kompromittiert wurden.

„Die 1-Zoll-Mitwirkenden überprüften die reichsten Vanity-Adressen in beliebten Netzwerken und kamen zu dem Schluss, dass die meisten von ihnen nicht vom Profanity-Tool erstellt wurden. Aber Profanity ist aufgrund seiner hohen Effizienz eines der beliebtesten Tools. Leider konnte das nur bedeuten, dass die meisten der Profanity-Geldbörsen heimlich gehackt wurden.“

Laut 1inch ist Profanity ein beliebtes und „hocheffizientes“ Tool, mit dem Benutzer Millionen von Adressen pro Sekunde erstellen können. Allerdings war auch das von Profanity verwendete Verfahren zur Generierung der Adressen nicht fehlerfrei und anfällig für Angriffe.

Der Sicherheitsbericht, der letzte Woche von 1inch veröffentlicht wurde, stellte auch fest, dass die Schwachstelle es Hackern ermöglicht haben könnte, jahrelang „heimlich“ Millionen von Dollar aus den Brieftaschen von Profanity-Benutzern zu stehlen. Die Mitwirkenden versuchen derzeit, alle kompromittierten Vanity-Adressen zu ermitteln.

Kurz nach der Warnung informierte der Blockchain-Ermittler ZachXBT über den Angriff, bei dem über 3 Millionen US-Dollar an Geldern verloren gingen. Glücklicherweise half sein Tweet einem Benutzer, 1,2 Millionen US-Dollar an Krypto und NFTs vor dem Hacker zu sparen, der Zugriff auf seine Brieftasche hatte.

Obszönitäten-Entwickler verlassen das Projekt

Laut Tal Be’ery, Sicherheitsleiter und Chief Technology Officer von ZenGo, könnten die böswilligen Entitäten auf der Schwachstelle „gesessen“ haben, um zu versuchen, so viele private Schlüssel wie möglich des fehlerbehafteten Profanity in die Hände zu bekommen. generierte Vanity-Adressen, bevor die Schwachstelle entdeckt wurde. Sie wurden jedoch ausgezahlt, nachdem es um 1 Zoll öffentlich bekannt wurde.

Unterdessen sagte einer der Profanity-Entwickler, der auf Github unter dem Pseudonym „johguse“ bekannt ist, dass sie das Projekt bereits vor einigen Jahren „aufgegeben“ hätten. Der Kommentar zum gleichen lesen,

„Dieses Projekt wurde von mir vor ein paar Jahren aufgegeben. Ich wurde auf grundlegende Sicherheitsfragen bei der Generierung privater Schlüssel aufmerksam gemacht. Ich rate dringend davon ab, dieses Tool in seinem derzeitigen Zustand zu verwenden. Dieses Repository wird bald weiter mit zusätzlichen Informationen zu diesem kritischen Problem aktualisiert.“

Der Beitrag Ethereum’s Vanity Addresses Drained of Over $3M Troy 1inch’s Warning erschien zuerst auf CryptoPotato.