Децентрализиран борсов агрегатор 1inch заяви на 15 септември, че е открил сериозна уязвимост в Ethereum Инструмент за генериране на суетен адрес. Това има потенциала да изложи на риск милиони долари потребителски пари.
Основателят и главен изпълнителен директор на 1inch Антон Буков предупреди потребителите на ethereum в a чуруликане че „средствата не са Safu“, крипто жаргон, използван, за да изрази, че потребителските средства са изложени на риск от загуба след хакване или експлоатация.
„Прехвърлете всичките си активи на друг портфейл възможно най-скоро“, каза по-късно 1inch Network в a сигурност докладва. „Ако сте използвали ругатни, за да получите суетен адрес на интелигентен договор, не забравяйте да смените собствениците на този интелигентен договор.“
Стотици милиони долари в риск
Нецензурните думи са инструмент, който позволява на потребителите на Ethereum да създават „суетни адреси“, вид персонализирани крипто портфейли, които съдържат разпознаваеми имена или номера в тях. Популярният инструмент беше пуснат някъде през 2017 г.
В доклада си 1inch обясни, че частните ключове за адреси, генерирани от Profanity, могат да бъдат изчислени с помощта на атаки с груба сила. То твърди, че уязвимост може да са позволили на хакерите „тайно“ да източват милиони долари от портфейлите на потребителите на ругатни в продължение на години.
„1inch сътрудниците все още се опитват да определят всички адреси за суета, които са били хакнати“, каза екипът, добавяйки:
„Това не е лесна задача, но на този етап изглежда, че десетки милиони долари в криптовалута могат да бъдат откраднати, ако не и стотици милиони. Едно хубаво нещо е, че доказателствата за хакове са налични във веригата завинаги.“
Разработчик на ругатни: не използвайте този инструмент!
Ругатни анонимен разработчик, който се използва под псевдонима "johguse" в Github, каза че са „изоставили“ проекта преди няколко години, след като са разбрали за „фундаментални проблеми със сигурността при генерирането на частни ключове“.
„Настоятелно препоръчвам да не използвате този инструмент в сегашното му състояние. Кодът няма да получава никакви актуализации и съм го оставил в състояние, което не може да се компилира. Използвайте нещо друго!“ добави разработчикът.
Ethereum използва комбинация от публични и частни ключове, за да генерира адреси на портфейла – дълъг списък от произволни буквено-цифрови знаци. Тези, които имат частния ключ за адрес, могат да разрешат прехвърлянето на средства от една сметка в друга, доказвайки, че притежават парите.
Суетните адреси обаче се генерират малко по-различно. 1inch описва подробно, че Profanity, популярен и „високо ефективен“ инструмент, позволява на потребителите да създават милиони адреси в секунда и да търсят тези низове от букви и цифри, поискани от потребителите за адрес на портфейл по поръчка.
1inch каза, че методът, използван от Profanity за генериране на адресите, не е безупречен и че публичните ключове от адресите за суета могат да бъдат изчислени с атаки с груба сила.
„Преди няколко дни сътрудниците на 1inch постигнаха код за доказателство за концепцията, който им позволява да възстановят частни ключове от всеки адрес за суета, генериран с Profanity, почти по същото време, което беше необходимо за генериране на този адрес за суета“, се обяснява в него.
Отказ от отговорност
Цялата информация, съдържаща се на нашия уебсайт, се публикува добросъвестно и само за обща информация. Всяко действие, което читателят предприема спрямо информацията, намираща се на нашия уебсайт, е на свой собствен риск.
Източник: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/