Jedva tjedan dana nakon hakiranja Wintermutea, 950,000 26 dolara u Etheru (ETH) ukradeno je iz kripto novčanika putem eksploatacije "adrese za ispraznost", prema izvješćima od 2022. rujna XNUMX.
Vulgarne riječi generirane na udaru
Dana 26. rujna, Peckshield, blockchain sigurnosna tvrtka Tweetano da je haker ukrao Ether vrijedan 950,000 dolara (ETH) iz novčanika kriptovalute. Hakiranje je imalo mnogo sličnosti s provalom vrijednom 160 milijuna dolara na Wintermute prošlog tjedna.
PeckShield kaže da je haker ukrao 732 ETH iz novčanika kriptovalute 25. rujna i pomiješao ga s drugim kripto fondovima koristeći odobrenu uslugu kriptomješanja, Tornado Cash. Sredstva su zatim uspješno prebačena u kripto novčanik lošeg glumca.
Stručnjaci su otkrili da je posljednja pljačka bila uspješna zbog slabosti u generatoru ispraznih adresa, koji je prvi put otkriven na GitHubu u siječnju 2022. Ranjivosti su postale poznate u rujnu kada je decentralizirani agregator razmjene, 1inch otkrio temeljne sigurnosne probleme s alatom Profanity .
Za neupućene, alat Profanity je generator adresa novčanika za ispraznost, kao što je već spomenuto. Dok se većina adresa Ethereum novčanika generira nasumično, ove se adrese kreiraju s određenim izrazom, poput nečijeg imena, negdje unutar adrese.
Prema 1 inč, Mnogo taštinskih adresa koje je generirao alat Profanity izloženo je riziku od ovih eksploatacija koje bi zahtijevale napad grubom silom. Iako bi izvođenje ovog napada zahtijevalo ogromnu količinu računalne snage, hakeri bi ipak smatrali da je izvođenje ovih napada nagrađujuća vježba ako se velika količina kriptovalute nalazi u novčaniku.
Pljačke kripto i DeFi mreže se nastavljaju
Proboji sigurnosti i hakiranja postali su rašireni u kripto sektoru, sa defi protokoli koji su do sada imali najveći udar. Prije tjedan dana hakeri su ukrali 160 milijuna dolara od proizvođača kripto tržišta zimnica. Kasnije je otkriveno da je hakiranje omogućeno zahvaljujući tome što je jedna od Wintermuteovih adresa imala svojstva vanity adrese, što bi mogao biti korijen ranjivosti.
Čini se da će problem postati još gori. Prema prijavitis, Više od 1.9 milijardi dolara u kriptovalutama ukradeno je hakiranjem kibernetičkih kriminalaca od srpnja 2022., što je znatno više od 1.2 milijarde dolara ukradenih u istom vremenskom okviru 2021.
Ethereum Devs objavljuju prijedlog "gumba za poništavanje".
Sve veća učestalost kripto hakiranja u 2022. navela je grupu istraživača da formuliraju novi prijedlog za dva nova standarda Ethereum tokena: ERC20R i ERC721R. Predloženi novi standardi tokena proširenja su postojećih ERC20 i ERC721 i sada bi uključivali mogućnost poništavanja zlonamjernih transakcija.
Predloženi standardi tokena kombinirali bi ugovor tokena i ugovor o upravljanju pri čemu potonji kontrolira decentralizirani pravosudni sustav. Prema prijedlogu, korisnici koji su žrtve hakiranja mogli bi podnijeti zahtjev za zamrzavanje pametnog ugovora o upravljanju s potkrijepljujućim dokazima.
Zahtjev za zamrzavanje zatim će biti dostavljen vijeću decentraliziranih sudaca, koji će zatim glasovati kako bi odlučili postoje li značajni dokazi za zamrzavanje sredstava ili ne.
Ako većina sudaca glasa za zamrzavanje, tada će se pokrenuti suđenje. Tijekom suđenja, obje strane (žrtva i haker) mogu predati svoje dokaze decentraliziranim sucima, koji će ponovno glasovati o ishodu.
Iako ideja ima potencijal za smanjenje rizika od kršenja sigurnosti, mnogi u kripto prostoru kritizirali su prijedlog, rekavši da su takve inicijative u suprotnosti s temeljnim načelima blockchain tehnologije. Neki su kritičari također istaknuli da bi dodavanje značajke reverzibilnosti ugovorima tokena ERC20 moglo otežati njihovu integraciju u decentralizirane aplikacije.
Izvor: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/