Knapt en uke etter Wintermute-hakket, har $950,000 26 i Ether (ETH) blitt stjålet fra en kryptolommebok gjennom en "forfengelighetsadresse", ifølge rapporter 2022. september XNUMX.
Baneord-genererte forfengelighetsadresser under angrep
26. september, Peckshield, et blokkjede-sikkerhetsfirma twitret at en hacker stjal Ether verdt 950,000 XNUMX dollar (ETH) fra en kryptovaluta-lommebok. Hacket hadde mange likheter med bruddet på 160 millioner dollar på Wintermute forrige uke.
PeckShield sier hackeren stjal 732 ETH fra en kryptovaluta-lommebok 25. september og blandet den med andre kryptofond ved å bruke den sanksjonerte krypto-blandingstjenesten, Tornado Cash. Midlene ble deretter overført til den dårlige skuespillerens kryptolommebok.
Ekspertene har avslørt at det siste ranet var vellykket på grunn av en svakhet i forfengelighetsadressegeneratoren, som først ble oppdaget på GitHub i januar 2022. Svakhetene ble publisert i september da desentraliserte utvekslingsaggregator, 1inch oppdaget grunnleggende sikkerhetsproblemer med Profanity-verktøyet .
For de uinnvidde er Profanity-verktøyet en forfengelighetslommebokadressegenerator, som allerede nevnt. Mens flertallet av Ethereum-lommebokadresser genereres tilfeldig, er disse forfengelighetsadressene opprettet med en bestemt term, som noens navn, et sted i adressen.
Ifølge 1 tommer, Mange forfengelighetsadresser som ble generert av Profanity-verktøyet er utsatt for disse utnyttelsene som vil kreve et brute force-angrep. Selv om å utføre dette angrepet vil kreve en enorm mengde datakraft, vil hackere fortsatt finne det å utføre disse angrepene som en givende øvelse hvis en stor mengde krypto er inneholdt i lommeboken.
Crypto og DeFi Heists fortsetter
Sikkerhetsbrudd og hacks har blitt utbredt i kryptosektoren, med Defi protokollene har fått det største slaget så langt. For en uke siden stjal hackere 160 millioner dollar fra kryptomarkedsmakeren vinterstum. Det ble senere avslørt at hacket ble gjort mulig på grunn av at en av Wintermutes adresser hadde egenskapene til en forfengelighetsadresse, som kan være roten til sårbarheten.
Tilsynelatende ser problemet ut til å bli enda verre. I følge rapporterers, over 1.9 milliarder dollar i krypto har blitt stjålet av nettkriminelle hacks i juli 2022, noe som er betydelig mer enn 1.2 milliarder dollar som ble stjålet på samme tidsramme i 2021.
Ethereum Devs flyter "Angre-knappen"-forslaget
Den økende frekvensen av kryptohack i 2022 har ført til at en gruppe forskere har formulert et nytt forslag til to nye Ethereum-tokenstandarder: ERC20R og ERC721R. De nye tokenstandardene som foreslås er utvidelser av eksisterende ERC20 og ERC721 og vil nå inkludere muligheten til å reversere ondsinnede transaksjoner.
De foreslåtte token-standardene vil kombinere en symbolsk kontrakt og en styringskontrakt der sistnevnte kontrolleres av et desentralisert rettssystem. I følge forslaget kan brukere som er ofre for et hack sende en forespørsel om frysing til den smarte styringskontrakten med støttende bevis.
Forespørselen om frysing vil deretter bli sendt til et panel av desentraliserte dommere, som deretter vil stemme for å avgjøre om det er betydelig bevis for å fryse midlene eller på annen måte.
Hvis flertallet av dommerne stemmer for en frysing, vil en rettssak bli satt i gang. Under rettssaken kan begge parter (offeret og hackeren) levere bevisene sine til de desentraliserte dommerne, som igjen vil stemme over utfallet.
Selv om ideen har potensial til å redusere risikoen for sikkerhetsbrudd, har mange i kryptoområdet kritisert forslaget og sagt at slike initiativ går i strid med de grunnleggende prinsippene for blokkjedeteknologi. Noen kritikere påpekte også at å legge til en reversibilitetsfunksjon til ERC20-tokenkontrakter kan gjøre det utfordrende å integrere dem i desentraliserte applikasjoner.
Kilde: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/