Un hacker è riuscito a rubare 3,3 milioni di dollari di criptovalute da diversi indirizzi Ethereum generati con lo strumento "Profanità". I fondi sono stati prosciugati anche dopo che l'aggregatore di scambi decentralizzato 1inch ha avvertito gli utenti di aver scoperto una grave vulnerabilità che metteva a rischio milioni di dollari.
In precedenza aveva consigliato agli utenti che possiedono indirizzi di portafoglio generati con lo strumento Profanity di trasferire le proprie risorse su un portafoglio diverso.
Rapporto di sicurezza da 1 pollice
All'inizio del 2022, i contributori di 1 pollice hanno osservato che Profanity utilizzava un vettore casuale a 32 bit per eseguire il seeding di chiavi private a 256 bit e sospettavano che potesse essere pericoloso. Dopo ulteriori indagini, sono state rilevate attività più sospette, segnalando che i portafogli di Profanity erano compromessi.
“I contributori di 1 pollice hanno controllato gli indirizzi vanity più ricchi sulle reti popolari e sono giunti alla conclusione che la maggior parte di essi non è stata creata dallo strumento Profanity. Ma Profanity è uno degli strumenti più popolari grazie alla sua alta efficienza. Purtroppo, ciò potrebbe solo significare che la maggior parte dei portafogli di Profanity sono stati segretamente violati. "
Secondo 1inch, Profanity sembra essere uno strumento popolare e "altamente efficiente" con il quale gli utenti sono in grado di creare milioni di indirizzi al secondo. Tuttavia, anche la procedura utilizzata da Profanity per generare gli indirizzi non era impeccabile ed era suscettibile di attacchi.
Il rapporto sulla divulgazione della sicurezza pubblicato da 1inch la scorsa settimana ha anche rilevato che la vulnerabilità potrebbe aver consentito agli hacker di rubare "segretamente" milioni di dollari dai portafogli degli utenti di Profanity per anni. I contributori stanno attualmente cercando di determinare tutti gli indirizzi vanity compromessi.
Subito dopo l'avvertimento, l'investigatore blockchain ZachXBT ha notificato l'attacco che ha prosciugato fondi per oltre $ 3 milioni. Fortunatamente, il suo tweet ha aiutato un utente a risparmiare 1,2 milioni di dollari in criptovalute e NFT dall'hacker che aveva accesso al proprio portafoglio.
Progetto di abbandono degli sviluppatori di volgarità
Secondo Tal Be'ery, responsabile della sicurezza e chief technology officer di ZenGo, le entità dannose potrebbero essersi "sedute" sulla vulnerabilità nel tentativo di mettere le mani sul maggior numero possibile di chiavi private di vanity address generati da profanità pieni di bug prima che la vulnerabilità fosse rilevata. Tuttavia, hanno incassato dopo che è stato pubblicamente esposto di 1 pollice.
Nel frattempo, uno degli sviluppatori di Profanity, che su Github si chiama 'johguse', ha affermato di aver già "abbandonato" il progetto alcuni anni fa. Il commento riguardante la stessa lettura,
“Questo progetto è stato abbandonato da me un paio di anni fa. Sono stati portati alla mia attenzione problemi di sicurezza fondamentali nella generazione di chiavi private. Sconsiglio vivamente di utilizzare questo strumento nel suo stato attuale. Questo repository sarà presto ulteriormente aggiornato con ulteriori informazioni su questo problema critico.
Il post di Vanity Addresses di Ethereum ha esaurito oltre $ 3 milioni nonostante l'avvertimento di 1 pollice è apparso per la prima volta su CryptoPotato .