Kripto v vrednosti približno 950,000 $ je bilo ukradenih iz "nečimrnega naslova" Ethereuma, ustvarjenega z orodjem, imenovanim Profanity. Izkoriščanje je izkoristilo podobno ranljivost, povezano z nedavni napad v vrednosti 160 milijonov dolarjev na proizvajalcu trga Wintermute.
»Nečimrni naslov« je vrsta kripto naslova, ki je v skladu z določenimi parametri, ki jih določi ustvarjalec in pogosto predstavlja njihovo blagovno znamko ali ime.
Namesto da bi bil kripto naslov naključen, strojno ustvarjen niz številk in črk, bi naslov po nečimrnosti ustvaril človek. Zaradi tega razloga uporabnikov na GitHub so navedli, da so te vrste naslovov bolj ranljive za napade s surovo silo.
O heker ukradel 732 Ethereum 25. septembra, preden sredstva nakažete naravnost na zdaj sankcioniran crypto mixer Tornado Cash po podatkih iz PeckShield.
Čeprav so bili uporabniki GitHuba tisti, ki so prvi odkrili podrobnosti o napadu, ga je nato objavil agregator decentralizirane borze (DEX) 1Inch Network, ki je uporabnikom naročil, naj »čim prej prenesejo vsa svoja sredstva v drugo denarnico«. deljenje bloga o tem, kako je izkoriščanje verjetno delovalo.
Po napadih so razvijalci za Profanity sprejeli ukrepe za zagotovitev, da nihče ne bo več uporabljal orodja.
Kodo Profanity so njeni razvijalci pustili v stanju, ki ga ni mogoče prevesti, pri čemer je bil repozitorij arhiviran. Koda ni nastavljena za prejemanje več posodobitev.
Nečimrni naslovi in kriptovalute
Nedavno izvršni direktor Wintermute Evgeny Gaevoy priznal na Twitterju da je bil mamutski napad na njegovo podjetje "verjetno povezan z izkoriščanjem Profanity tipa naše trgovalne denarnice DeFi."
Gaevoy je dejal, da je njegovo podjetje, ki zagotavlja storitve algoritemskega ustvarjanja trga, uporabilo "psovke in interno orodje za ustvarjanje naslovov z veliko ničlami spredaj", vendar je trdil, da je "razlog za to optimizacija plina, ne nečimrnost."
V naših defi operacijah so nam vdrli za približno 160 milijonov dolarjev. To ne vpliva na operacije Cefi in OTC
— željni cinik (@EvgenyGaevoy) September 20, 2022
Do zdaj se še ni javil noben storilec v zvezi z napadom Wintermute ali najnovejšim incidentom, prav tako niso bila vrnjena nobena sredstva. Izdelovalec trga grozi s pravnim postopkom in je ponudil nagrado v višini 16 milijonov dolarjev za vračilo sredstev.
Včerajšnji podvig in Wintermuteov sta morda le vrh ledene gore.
V svoji objavi v spletnem dnevniku je 1Inch namignil, da dodatnih podvigov še ni bilo odkritih, in dodal, da "sodelujoči pri 1inch-u še vedno poskušajo ugotoviti vse naslove, na katere je prišlo do vdora" in da "izgleda, da bi lahko bilo ukradenih več deset milijonov dolarjev v kriptovaluti , če ne na stotine milijonov.«
Bodite na tekočem s kripto novicami, prejemajte dnevne posodobitve v svoj nabiralnik.
Vir: https://decrypt.co/110526/hackers-nab-nearly-1-million-crypto-ethereum-vanity-adress-exploit