Lỗ hổng nghiêm trọng trong Công cụ địa chỉ ảo ETH gây rủi ro hàng triệu đô la

1inch: Lỗ hổng nghiêm trọng trong Công cụ địa chỉ Ethereum Vanity gây rủi ro hàng triệu đô la

Tóm lại

• 1inch tuyên bố đã phát hiện ra một lỗ hổng nghiêm trọng trong công cụ Profanity.
• Nó nói rằng tin tặc đã bí mật rút hàng triệu đô la từ các địa chỉ phù phiếm dựa trên Thô tục.
• Nhà phát triển tục tĩu cho biết họ "đã bỏ rơi" dự án cách đây vài năm về "các vấn đề bảo mật cơ bản."

Công cụ tổng hợp trao đổi phi tập trung1 inch tuyên bố vào ngày 15 tháng 8 đã phát hiện ra một lỗ hổng nghiêm trọng trongEthereum công cụ tạo địa chỉ phù phiếm Profanity. Điều này có khả năng khiến hàng triệu đô la tiền của người dùng gặp rủi ro.

Người sáng lập và Giám đốc điều hành 1inch Anton Bukov đã cảnh báo người dùng ethereum trong mộttiếng riu ríu rằng “tiền không phải là Safu”, biệt ngữ tiền điện tử được sử dụng để diễn đạt rằng tiền của người dùng có nguy cơ bị mất sau mộthack hoặc khai thác .

“Chuyển tất cả tài sản của bạn sang một nơi kháccái ví càng sớm càng tốt,” 1inch Network sau đó cho biết trong mộtbảo vệbáo cáo . “Nếu bạn đã sử dụng Thô tục để lấy địa chỉ hợp đồng thông minh phù phiếm, hãy đảm bảo thay đổi chủ sở hữu của hợp đồng thông minh đó.”

Hàng trăm triệu đô la có nguy cơ
Profanity là một công cụ cho phép người dùng Ethereum tạo “địa chỉ phù phiếm”, một loại ví tiền điện tử tùy chỉnh có chứa tên hoặc số dễ nhận biết bên trong chúng. Công cụ phổ biến đã được ra mắt vào khoảng năm 2017.

Trong báo cáo của mình, 1inch giải thích rằng các khóa riêng cho các địa chỉ được tạo trên Profanity có thể được tính toán bằng cách sử dụng các cuộc tấn công vũ phu. Nó tuyên bốlỗ hổng có thể đã cho phép tin tặc “bí mật” bòn rút hàng triệu đô la từ ví của người dùng Thô tục trong nhiều năm.

“Những người đóng góp cho 1inch vẫn đang cố gắng xác định tất cả các địa chỉ phù phiếm đã bị tấn công,” bộ trang phục cho biết thêm:
“Đó không phải là một nhiệm vụ đơn giản, nhưng tại thời điểm này, có vẻ như hàng chục triệu đô la tiền điện tử có thể bị đánh cắp, nếu không muốn nói là hàng trăm triệu. Một điều tốt là bằng chứng về các vụ hack luôn có sẵn trên chuỗi.”

Nhà phát triển thô tục: không sử dụng công cụ này!

Nhà phát triển ẩn danh thô tục, người có biệt danh 'johguse' trên Github,nói rằng họ đã “từ bỏ” dự án vài năm trước sau khi phát hiện ra “các vấn đề bảo mật cơ bản trong quá trình tạo khóa riêng”.

“Tôi thực sự khuyên bạn không nên sử dụng công cụ này ở trạng thái hiện tại. Mã sẽ không nhận được bất kỳ bản cập nhật nào và tôi đã để nó ở trạng thái không thể biên dịch được. Dùng thứ khác đi!” nhà phát triển đã thêm vào.

Ethereum sử dụng kết hợp khóa công khai và khóa riêng để tạo địa chỉ ví – một danh sách dài các ký tự chữ và số ngẫu nhiên. Những người có khóa riêng của một địa chỉ có thể ủy quyền chuyển tiền từ tài khoản này sang tài khoản khác, chứng tỏ họ sở hữu số tiền đó.

Tuy nhiên, địa chỉ Vanity được tạo hơi khác một chút. 1inch nêu chi tiết rằng Profanity, một công cụ phổ biến và “hiệu quả cao”, cho phép người dùng tạo hàng triệu địa chỉ mỗi giây và tìm kiếm các chuỗi chữ cái và số mà người dùng yêu cầu cho một địa chỉ ví riêng.

1inch cho biết phương pháp mà Profanity sử dụng để tạo địa chỉ không phải là hoàn hảo và các khóa công khai từ địa chỉ phù phiếm có thể được tính toán bằng các cuộc tấn công vũ phu.

“Một vài ngày trước, những người đóng góp 1inch đã đạt được mã bằng chứng khái niệm cho phép họ khôi phục khóa riêng tư từ bất kỳ địa chỉ phù phiếm nào được tạo bằng Tục tĩu gần như cùng lúc với thời điểm được yêu cầu để tạo địa chỉ phù phiếm đó,” nó giải thích.

từ chối trách nhiệm
Tất cả thông tin trên trang web của chúng tôi được xuất bản với thiện ý và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào mà người đọc thực hiện đối với thông tin tìm thấy trên trang web của chúng tôi đều có nguy cơ của riêng họ.