Desentralisert børsaggregator 1inch Network ga en advarsel til kryptoinvestorer etter å ha identifisert en sårbarhet i Profanity, et Ethereum (ETH) verktøy for generering av forfengelighetsadresse. Til tross for den proaktive advarselen, klarte hackere tilsynelatende å gjøre unna med 3.3 millioner dollar i kryptovalutaer.
15. september avslørte 1Inch mangelen på sikkerhet ved bruk av Profanity da den brukte en tilfeldig 32-bits vektor for å sette 256-biters private nøkler. Ytterligere undersøkelser påpekte tvetydigheten i opprettelsen av forfengelighetsadresser, noe som antydet at profanity-lommebøker ble hacket i hemmelighet. Advarselen kom i form av en tweet, som vist nedenfor.
LØP, DUMMERE
⚠️ Spoiler: Pengene dine er IKKE SAFU hvis lommebokadressen din ble generert med banningverktøyet. Overfør alle eiendelene dine til en annen lommebok ASAP!
➡️ Les mer: https://t.co/oczK6tlEqG#Ethereum #crypto # sårbarhet #1 tomme
- 1 tommers nettverk (@1 tommers) September 15, 2022
En påfølgende undersøkelse av blockchain-etterforsker ZachXBT viste at en vellykket utnyttelse av sårbarheten tillot hackere å tappe 3.3 millioner dollar i krypto.
Det ser ut til at krypto verdt $3.3 millioner har blitt utnyttet av 0x6ae fra dette sikkerhetsproblemet.
Interessant nok var Indexed Finance Exploiter den første adressen som ble tappet av 0x6ae.
Angripernes adresse:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq— ZachXBT (@zachxbt) September 17, 2022
Dessuten hjalp ZachXBT en bruker med å spare over 1.2 millioner dollar i krypto og nonfungible tokens (NFT) etter å ha varslet dem om hackeren som hadde tilgang til brukerens lommebok. Etter avsløringen bekreftet mange brukere at pengene deres var trygge, som en uttalte:
"Wtf 6 timer etter angrepet var adressene mine fortsatt sårbare, men angriperen tappet meg ikke? hadde 55k i fare lol"
Imidlertid har hackere en tendens til å angripe de større lommebøkene før de går over til lommebøker med mindre verdi. Brukere som eier lommebokadresser generert med banningverktøyet har blitt bedt om å "Overføre alle eiendelene dine til en annen lommebok ASAP!" med 1 tomme.
Relatert: Rettshåndhevelse gjenvinner 30 millioner dollar fra Ronin Bridge-hack ved hjelp av Chainalysis
Mens noen hackere foretrekker den tradisjonelle metoden for å tappe brukernes midler etter ulovlig tilgang til kryptolommebøkene, prøver andre ut nye måter å lure investorer til å dele sine private nøkler.
En av de nylige innovative svindelene involverte hacking av en YouTube-kanal for å spille av fabrikkerte videoer av Elon Musk diskuterer kryptovalutaer. 3. september ble den sørkoreanske regjeringens YouTube-kanal et øyeblikk hacket og omdøpt for å dele direktesendinger av kryptorelaterte videoer.
Den kompromitterte IDen og passordet til YouTube-kanalen ble identifisert som rotårsaken til hacket.
Kilde: https://cointelegraph.com/news/profanity-tool-vulnerability-drains-3-3m-despite-1inch-warning