Otprilike 950,000 dolara vrijedne kriptovalute ukradene su s Ethereumove "tašte adrese" generirane pomoću alata pod nazivom Profanity. Iskorištavanje je iskoristilo sličnu ranjivost povezanu s nedavni napad vrijedan 160 milijuna dolara na proizvođaču tržišta Wintermute.
"Adresa s taštinom" je vrsta kripto adrese koja je u skladu s određenim parametrima koje je postavio kreator, često predstavljajući njihov brend ili ime.
Umjesto da kripto adresa bude nasumični, strojno generirani niz brojeva i slova, osobnu adresu bi generirao čovjek. Upravo iz tog razloga korisnika na GitHubu su naznačili da su ove vrste adresa ranjivije na napade grubom silom.
Korištenje električnih romobila ističe haker ukrao 732 Ethereum 25. rujna prije prijenosa sredstava ravno na sada sankcioniran kripto mikser Tornado Cash, prema podacima iz PeckShield.
Iako su korisnici GitHuba bili ti koji su prvi otkrili pojedinosti o napadu, zatim ga je objavio agregator decentralizirane razmjene (DEX) 1Inch Network koji je korisnicima rekao da "svu svoju imovinu prebace u drugi novčanik što je prije moguće". dijeljenje bloga o tome kako je iskorištavanje vjerojatno djelovalo.
Nakon napada, programeri koji stoje iza Profanityja poduzeli su korake kako bi osigurali da nitko ne nastavi koristiti alat.
Razvojni programeri ostavili su programski kod Profanity u stanju koje se ne može kompajlirati, a repozitorij je arhiviran. Kod nije postavljen da više prima ažuriranja.
Adrese s taštinom i kripto hakovi
Nedavno izvršni direktor Wintermutea Evgeny Gaevoy priznao je na Twitteru da je napad ogromnih razmjera na njegovu tvrtku "vjerojatno bio povezan s iskorištavanjem psovki našeg DeFi novčanika za trgovanje."
Gaevoy je rekao da je njegova tvrtka, koja pruža usluge algoritamskog kreiranja tržišta, koristila "psovke i interni alat za generiranje adresa s mnogo nula ispred", ali je tvrdio da je "razlog iza toga bila optimizacija plina, a ne taština".
Hakirani smo za oko 160 milijuna dolara u našim defi operacijama. Cefi i OTC operacije nisu pogođene
— željni cinik (@EvgenyGaevoy) Rujna 20, 2022
Do sada se nijedan počinitelj nije javio u vezi s napadom Wintermutea ili najnovijim incidentom, a sredstva nisu vraćena. Market maker prijeti pravnim postupkom i ponudio je nagradu od 16 milijuna dolara za povrat sredstava.
Jučerašnji podvig i Wintermute također mogu biti samo vrh ledenog brijega.
U svom postu na blogu, 1Inch je sugerirao da dodatne eksploatacije tek treba otkriti, dodajući da "suradnici 1inča još uvijek pokušavaju utvrditi sve adrese koje su hakirane" i da "izgleda da bi deseci milijuna dolara u kriptovaluti mogli biti ukradeni , ako ne i stotine milijuna.”
Budite u tijeku s kripto vijestima, primajte dnevna ažuriranja u svoju pristiglu poštu.
Izvor: https://decrypt.co/110526/hackers-nab-nearly-1-million-crypto-ethereum-vanity-adress-exploit