一名黑客设法从使用“亵渎”工具生成的几个以太坊地址中窃取了价值 3.3 万美元的加密货币。 即使在去中心化交易所聚合器 1inch 警告用户发现一个严重的漏洞会危及数百万美元的风险之后,这些资金也被耗尽了。
它之前曾建议拥有使用 Profanity 工具生成的钱包地址的用户将其资产转移到不同的钱包。
1英寸安全报告
2022 年初,1inch 贡献者观察到 Profanity 使用随机 32 位向量来播种 256 位私钥,并怀疑它可能不安全。 经过进一步调查,发现了更多可疑活动,表明 Profanity 钱包已被盗用。
“1inch 贡献者检查了流行网络上最富有的虚荣地址,并得出结论,其中大多数不是由 Profanity 工具创建的。 但亵渎是最流行的工具之一,因为它的效率很高。 可悲的是,这只能意味着大部分 Profanity 钱包都被秘密入侵了。”
据 1inch 称,Profanity 恰好是一种流行且“高效”的工具,用户可以使用它每秒创建数百万个地址。 然而,Profanity 用于生成地址的程序也并非完美无缺,并且容易受到攻击。
安全披露 报告 上周发布的 1inch 还指出,该漏洞可能使黑客多年来“秘密”从 Profanity 用户的钱包中窃取数百万美元。 贡献者目前正试图确定所有受损的虚荣地址。
警告发出后不久,区块链调查员 ZachXBT 通知了这次攻击,该攻击消耗了超过 3 万美元的资金。 幸运的是,他的 鸣叫 帮助用户从有权访问其钱包的黑客手中节省了 1.2 万美元的加密货币和 NFT。
亵渎开发者放弃项目
ZenGo 的安全主管兼首席技术官 Tal Be'ery 表示,恶意实体 可以 一直“坐在”该漏洞上,试图在检测到漏洞之前尽可能多地获得漏洞百出的亵渎生成的虚荣地址的私钥。 然而,在被公开曝光 1 英寸后,他们就套现了。
与此同时,一位在 Github 上化名为“johguse”的 Profanity 开发人员表示,他们几年前已经“放弃”了该项目。 这 评论 关于相同的阅读,
“这个项目几年前被我放弃了。 私钥生成中的基本安全问题引起了我的注意。 我强烈建议不要在当前状态下使用此工具。 该存储库将很快进一步更新,提供有关此关键问题的更多信息。”
资料来源:https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/