Einem Hacker gelang es, Kryptowährungen im Wert von 3,3 Millionen Dollar von mehreren zu stehlen Ethereum Adressen, die mit dem Tool „Profanity“ generiert wurden. Die Mittel wurden aufgebraucht, selbst nachdem der dezentrale Börsenaggregator 1inch die Benutzer vor der Entdeckung einer schwerwiegenden Schwachstelle gewarnt hatte, die Millionen von Dollar in Gefahr brachte.
Zuvor hatte es Benutzern, die mit dem Profanity-Tool generierte Wallet-Adressen besitzen, geraten, ihre Vermögenswerte auf ein anderes Wallet zu übertragen.
1 Zoll Sicherheitsbericht
Anfang 2022 beobachteten 1-Zoll-Mitwirkende, dass Profanity einen zufälligen 32-Bit-Vektor verwendete, um private 256-Bit-Schlüssel zu erzeugen, und vermuteten, dass dies unsicher sein könnte. Bei weiteren Untersuchungen wurden weitere verdächtige Aktivitäten festgestellt, die darauf hindeuten, dass Profanity-Wallets kompromittiert wurden.
„Die 1-Zoll-Mitwirkenden überprüften die reichsten Vanity-Adressen in beliebten Netzwerken und kamen zu dem Schluss, dass die meisten von ihnen nicht vom Profanity-Tool erstellt wurden. Aber Profanity ist aufgrund seiner hohen Effizienz eines der beliebtesten Tools. Leider konnte das nur bedeuten, dass die meisten der Profanity-Geldbörsen heimlich gehackt wurden.“
Laut 1inch ist Profanity ein beliebtes und „hocheffizientes“ Tool, mit dem Benutzer Millionen von Adressen pro Sekunde erstellen können. Allerdings war auch das von Profanity verwendete Verfahren zur Generierung der Adressen nicht fehlerfrei und anfällig für Angriffe.
Die Sicherheitsoffenlegung Bericht die letzte Woche von 1inch veröffentlicht wurde, stellte auch fest, dass die Schwachstelle es Hackern ermöglicht haben könnte, jahrelang „heimlich“ Millionen von Dollar aus den Brieftaschen von Profanity-Benutzern zu stehlen. Die Mitwirkenden versuchen derzeit, alle kompromittierten Vanity-Adressen zu ermitteln.
Kurz nach der Warnung benachrichtigte der Blockchain-Ermittler ZachXBT den Angriff, der über 3 Millionen Dollar an Geldern abfloss. Glücklicherweise seine twittern half einem Benutzer, 1,2 Millionen US-Dollar an Krypto und NFTs vor dem Hacker zu sparen, der Zugriff auf seine Brieftasche hatte.
Profanity Devs Abandon Project
Laut Tal Be’ery, Sicherheitsleiter und Chief Technology Officer von ZenGo, handelt es sich um böswillige Entitäten könnte haben auf der Schwachstelle „gesessen“, um so viele private Schlüssel wie möglich von fehlerbehafteten, von Profanity generierten Vanity-Adressen in die Finger zu bekommen, bevor die Schwachstelle entdeckt wurde. Sie haben sich jedoch ausgezahlt, nachdem es um 1 Zoll öffentlich aufgedeckt wurde.
Einer der Entwickler von Profanity, der auf Github unter dem Pseudonym „johguse“ bekannt ist, sagte derweil, dass man das Projekt bereits vor einigen Jahren „aufgegeben“ habe. Das Kommentar in Bezug auf die gleiche Lektüre,
„Dieses Projekt wurde von mir vor ein paar Jahren aufgegeben. Ich wurde auf grundlegende Sicherheitsfragen bei der Generierung privater Schlüssel aufmerksam gemacht. Ich rate dringend davon ab, dieses Tool in seinem derzeitigen Zustand zu verwenden. Dieses Repository wird in Kürze mit zusätzlichen Informationen zu diesem kritischen Problem weiter aktualisiert.“
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>