Desentralisert utvekslingsaggregat 1inch hevdet 15. september å ha oppdaget en alvorlig sårbarhet i Ethereum verktøy for generering av forfengelighetsadresser Banning. Dette har potensial til å sette millioner av dollar i brukerpenger i fare.
1inch grunnlegger og administrerende direktør Anton Bukov advarte ethereum-brukere i en tweet at «midler ikke er Safu», kryptospråk som brukes til å uttrykke at brukermidler er i fare for tap etter en hacke eller utnytte.
"Overfør alle eiendelene dine til en annen lommebok så snart som mulig," sa 1inch Network senere i en sikkerhet rapporterer. "Hvis du brukte Profanity for å få en forfengelighet smart kontraktsadresse, sørg for å endre eierne av den smarte kontrakten."
Hundrevis av millioner dollar i fare
Banning er et verktøy som lar Ethereum-brukere lage "forfengelighetsadresser", en type tilpassede kryptolommebøker som inneholder gjenkjennelige navn eller numre i dem. Det populære verktøyet ble lansert en gang i 2017.
I sin rapport forklarte 1inch at de private nøklene til adresser generert på Profanity kunne beregnes ved bruk av brute force-angrep. Det hevdet sårbarhet kan ha tillatt hackere å "hemmelig" sifone millioner av dollar fra Profanity-brukeres lommebøker i årevis.
"1-tommers bidragsytere prøver fortsatt å finne alle forfengelighetsadressene som ble hacket," sa antrekket og la til:
«Det er ikke en enkel oppgave, men på dette tidspunktet ser det ut til at titalls millioner dollar i kryptovaluta kan bli stjålet, om ikke hundrevis av millioner. En god ting er at bevis på hack er tilgjengelig på kjeden for alltid."
Banning-utvikler: ikke bruk dette verktøyet!
Banning anonym utvikler, som går under betegnelsen 'johguse' på Github, sa at de «forlot» prosjektet for noen år siden etter å ha funnet ut om «fundamentale sikkerhetsproblemer ved generering av private nøkler».
"Jeg fraråder på det sterkeste å bruke dette verktøyet i dets nåværende tilstand. Koden vil ikke motta noen oppdateringer, og jeg har forlatt den i en ukompilerbar tilstand. Bruk noe annet!" la utvikleren til.
Ethereum bruker en kombinasjon av offentlige og private nøkler for å generere lommebokadresser – en lang liste med tilfeldige alfanumeriske tegn. De som har den private nøkkelen til en adresse kan godkjenne overføring av midler fra en konto til en annen, og beviser at de eier pengene.
Vanity-adresser genereres imidlertid noe annerledes. 1inch detaljerte at Profanity, et populært og "svært effektivt" verktøy, tillot brukere å opprette millioner av adresser per sekund og søkte etter de strengene med bokstaver og tall som ble bedt om av brukere for en skreddersydd lommebokadresse.
1inch sa at metoden som ble brukt av Profanity for å generere adressene ikke var idiotsikker og at offentlige nøkler fra forfengelighetsadresser kunne beregnes med brute force-angrep.
"For noen dager siden oppnådde 1-tommers bidragsytere proof-of-concept-kode som tillot dem å gjenopprette private nøkler fra enhver forfengelighetsadresse generert med Profanity på nesten samme tidspunkt som var nødvendig for å generere den forfengelighetsadressen," forklarte den.
Ansvarsfraskrivelse
All informasjonen på nettstedet vårt er kun publisert i god tro og kun for generell informasjon. Enhver handling som leseren tar på informasjonen som finnes på nettstedet vårt, er strengt på egen risiko.
Kilde: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/