Nesten $1 million i krypto stjålet fra utnyttelse av forfengelighetsadresse

Hacks og utnyttelser fortsetter å plage desentralisert finans (DeFi) sektor som en annen forfengelighet lommebok-adresse slutter seg til listen over DeFi-ofre, som til sammen har mistet mer enn $ 1.6 milliarder i 2022. 

I et varsel publisert av blockchain-sikkerhetsfirmaet PeckShield, ble en hacker oppdaget etter å ha stjålet 732 Ether (ETH), rundt $950,000 XNUMX, fra en adresse opprettet ved Ethereums vanity wallet-adressegenerator kalt Profanity. Etter å ha tømt lommeboken, sendte utnytterne kryptoen til de nylig sanksjonerte kryptomikser Tornado Cash.

#PeckShieldAlert Virker som om $950k verdt av krypto har blitt stjålet av 0x9731F fra Ethereums "forfengelighetsadresse" generert med et verktøy kalt Profanity. Utnytteren har allerede overført ~732 $ ETH inn i mikseren pic.twitter.com/QOZfnE49H4

—PeckShieldAlert (@PeckShieldAlert) September 26, 2022

Vanity-adresser er tilpassede kryptolommebokadresser som genereres for å inkludere ord eller spesifikke tegn valgt av eieren. Men som påpekt av nylige bedrifter, er sikkerheten til forfengelighetsadresser fortsatt tvilsom.

Tidligere i september, desentralisert utveksling (DEX) aggregator 1inch Network advarte fellesskapsmedlemmer om at adressene deres ikke var trygge hvis de vi genererte ved bruk av banning. DEX kalte ut kryptoholdere med forfengelighetsadresser til overføre sine eiendeler umiddelbart. I følge 1inch brukte forfengelighetsadressegeneratoren en tilfeldig 32-bits vektor for å seede 256-biters private nøkler, noe som betyr at den mangler sikkerhet.

Etter DEX-aggregatorens advarsler kunngjorde ZachXBT, en blockchain-etterforsker, at en utnyttelse av sårbarheten i Profanity allerede har gjort det mulig for noen hackere å slippe unna med digitale eiendeler verdt 3.3 millioner dollar. 

Relatert: Hvit lue: Jeg returnerte det meste av de stjålne Nomad-midlene, og alt jeg fikk var denne dumme NFT-en

Den 20. september led den Storbritannia-baserte kryptomarkedsmakeren en utnyttelse som førte til 160 millioner dollar i tap. Ifølge forskeren Ajay Dhingra kan utnyttelsen ha vært på grunn av at firmaets hete lommebok ble kompromittert og manipulerte en feil i den smarte kontrakten. Evgeny Gaevoy, firmaets grunnlegger og administrerende direktør, oppfordret angriperne til å ta kontakt da de er åpne for å behandle utnyttelsen som et white hat hack.