Крипто во вредност од околу 950,000 американски долари е украдено од „суета адреса“ на Ethereum, генерирана со алатка наречена Profanity. Експлоатацијата искористи слична ранливост поврзана со неодамнешен напад од 160 милиони долари на производителот на пазарот Wintermute.
„Суета адреса“ е тип на крипто-адреса што одговара на одредени параметри поставени од креаторот, честопати претставувајќи го нивниот бренд или име.
Наместо крипто-адресата да биде случајна, машински генерирана низа од броеви и букви, суета адреса ќе биде генерирана од човекот. Поради оваа причина корисници на GitHub покажаа дека овие типови адреси се поранливи на напади со брутална сила.
на Хакер украл 732 Ethereum на 25 септември пред да ги префрли средствата директно на сега-санкциониран крипто миксер Торнадо Кеш, според податоците од Пек Шилд.
Иако корисниците на GitHub први открија детали за нападот, тој потоа беше објавен од страна на агрегаторот на децентрализираната размена (DEX) 1Inch Network, кој им рече на корисниците „да ги пренесат сите ваши средства на друг паричник што побрзо“. споделување блог за тоа како експлоатацијата најверојатно функционирала.
После нападите, програмерите зад Profanity презедоа чекори за да се осигураат дека никој не продолжи да ја користи алатката.
Кодот на вулгарности е оставен во некомпајлибилна состојба од неговите развивачи, при што складиштето се архивира. Кодот не е поставен да прима повеќе ажурирања.
Суета адреси и крипто хакови
Извршниот директор на Wintermute, Евгениј Гевој неодамна призна на Твитер дека мамутскиот напад врз неговата компанија „веројатно бил поврзан со експлоатацијата од типот на вулгарности на нашиот паричник за тргување DeFi“.
Гаевој рече дека неговата компанија, која обезбедува алгоритамски услуги за создавање пазар, користела „вулгарности и внатрешна алатка за генерирање адреси со многу нули напред“, но тврди дека „причината зад ова е оптимизација на гасот, а не суета“.
Бевме хакирани за околу 160 милиони долари во нашите дефи операции. Работите на Cefi и OTC не се засегнати
— посакуван циник (@EvgenyGaevoy) Септември 20, 2022
Засега, ниту еден сторител не се појавил во врска со нападот во Винтермајт или последниот инцидент, и не се пронајдени средства. Маркетмејкерот се заканува со правна постапка и понуди награда од 16 милиони долари за враќање на средствата.
Вчерашната експлоатација и онаа на Винтермут можеби се само врвот на ледениот брег.
Во својот блог пост, 1Inch сугерираше дека допрва треба да се откријат дополнителни експлоатирања, додавајќи дека „соработниците од 1 инчи сè уште се обидуваат да ги утврдат сите суетни адреси кои биле хакирани“ и дека „изгледа дека десетици милиони долари во криптовалути може да бидат украдени , ако не и стотици милиони“.
Останете на врвот на крипто вестите, добивајте дневни ажурирања во вашето сандаче.
Извор: https://decrypt.co/110526/hackers-nab-nearly-1-million-crypto-ethereum-vanity-adress-exploit