一名黑客設法從使用“褻瀆”工俱生成的幾個以太坊地址中竊取了價值 330 萬美元的加密貨幣。在 1inch 去中心化交易所聚合器警告用戶它發現了一個使數百萬美元處於危險之中的重大漏洞之後,資金也被耗盡。
他之前曾建議使用 Profanity 工俱生成錢包地址的用戶將其資產轉移到不同的錢包。
1英寸安全報告
2022 年初,1 英寸的貢獻者觀察到 Profanity 使用 32 位隨機向量來播種 256 位私鑰,並懷疑這可能是危險的。經過進一步調查,檢測到更多可疑活動,報告稱 Profanity 的錢包被盜。
“1 英寸的貢獻者檢查了流行網絡上最富有的虛榮地址,並得出結論,其中大多數不是由褻瀆工具創建的。但褻瀆是最流行的工具之一,因為它的效率很高。不幸的是,這只能意味著 Profanity 的大部分錢包都被秘密入侵了。 "
據 1inch 稱,Profanity 似乎是一種流行且“高效”的工具,用戶可以使用它每秒創建數百萬個地址。然而,即使是 Profanity 用來生成地址的程序也不是完美無缺的,而且容易受到攻擊。
1inch 上週發布的安全披露報告還發現,該漏洞可能讓黑客多年來“秘密”從 Profanity 用戶的錢包中竊取數百萬美元。貢獻者目前正試圖確定所有受損的虛榮地址。
在發出警告後,區塊鏈調查員 ZachXBT 立即通知了這次攻擊,該攻擊耗盡了價值超過 300 萬美元的資金。幸運的是,他的推文幫助用戶從有權訪問其錢包的黑客手中節省了 120 萬美元的加密貨幣和 NFT。
低俗開發者拋棄項目
ZenGo 的首席安全官兼首席技術官 Tal Be'ery 表示,惡意實體可能已經“坐下來”利用該漏洞,試圖在攻擊之前獲取由充滿漏洞的髒話生成的許多私人虛榮地址密鑰。檢測到漏洞。然而,他們在公開曝光1英寸後兌現。
與此同時,Profanity 的開發者之一,在 Github 上的名字是“johguse”,他說他幾年前已經“放棄”了這個項目。關於同一閱讀的評論,
“這個項目幾年前被我放棄了。生成私鑰的基本安全問題引起了我的注意。我強烈建議不要在當前狀態下使用此工具。該存儲庫將很快進一步更新,提供有關此關鍵問題的更多信息。
儘管 1 英寸的警告首次出現在CryptoPotato上, 但以太坊的 Vanity Addresses 帖子已售罄超過 300 萬美元。