Hacker ukradl 3,3 milionu dolarů z několika „vanity adres“ Etherea vygenerovaných pomocí nástroje s názvem Profanity. Tyto adresy trpěly bezpečnostní chybou, která hackerům umožňovala extrahovat privátní klíče, uvedla předchozí zpráva společnosti 1inch. O zprávě informoval The Block.
Podle on-chain dat z Etherscan odčerpal hacker 3,3 milionu dolarů z několika Ethereum adres vygenerovaných pomocí nástroje zvaného Profanity. Informoval o tom The Block.
Bezpečnostní analytik ZachXBT z Anonymous si jako první všiml exploitu, který se odehrál 16. září.
Appears $3.3m worth of crypto has been exploited by 0x6ae from this vulnerability.
— ZachXBT (@zachxbt) September 17, 2022
Interestingly the Indexed Finance Exploiter was the first address drained by 0x6ae.
Attackers address:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq
Vanity adresy jsou typem uživatelské peněženky, která v sobě obsahuje identifikovatelná jména nebo čísla. V kryptografickém sektoru se používají především k předvádění se, podobně jako řidiči automobilů platí nadsazené částky za drahé poznávací značky. Tyto adresy lze vytvořit pomocí určitých nástrojů, jedním z nich je Profanity.
Minulý týden zveřejnil decentralizovaný agregátor burz 1inch zprávu o bezpečnostních odhaleních. V ní tvrdí, že „vanity adresy“ generované pomocí Profanity nejsou bezpečné. Podle společnosti 1inch bylo možné privátní klíče spojené s adresami generovanými pomocí Profanity získat pomocí výpočtů hrubou silou.
Bezpečnostní problém, na který 1inch upozornil, však nebylo možné opravit včas, aby se zabránilo zneužití. Podle anonymního vývojáře vystupujícího pod přezdívkou „johguse“ se práce na Profanity před několika lety zastavily.
Ještě před zprávou 1inch si johguse uvědomil zranitelnost nástroje a varoval uživatele před jeho používáním. V následném vyšetřování on-chain vyšetřovatel ZachXBT minulý pátek tvrdil, že neznámý hacker zřejmě využil právě tuto zranitelnost k odčerpání odhadovaných 3,3 milionu dolarů v kryptoaktivitách z různých adres založených na Profanity krátce po zprávě 1inch. Ukradené prostředky se přesunuly z adres obětí na novou Ethereum adresu, o které se předpokládá, že ji ovládá hacker
Hackeři mohli o problému vědět už dříve
Zneužití v hodnotě 3,3 milionu dolarů vyvolalo komentáře odborníků, že zákeřní hackeři mohli o bezpečnostním problému vědět už dříve.
„Vypadá to, že útočníci na této zranitelnosti seděli a snažili se najít co nejvíce soukromých klíčů zranitelných vanity adres generovaných Profanity, než se o chybě dozví všichni. Po veřejném odhalení 1inch útočníci během několika minut inkasovali peníze z několika vanity adres,“ řekl Tal Be’ery, vedoucí bezpečnosti a technologický ředitel společnosti ZenGo.
Pozoruhodné je, že společnost 1inch ve své zprávě také uvedla, že chyba byla již dříve hackery využita k potenciálním zneužitím v hodnotě milionů dolarů. Společnost 1inch tvrdila, že byla schopna vypočítat některé privátní klíče vanity adres Profanity pomocí grafických karet.
„Máme proof of concept získání soukromého klíče z veřejného klíče. Můžete nám tedy poslat veřejný klíč (nikoli adresu) vygenerovaný prostřednictvím Profanity a my vám pošleme zpět soukromý,“ uvedl tým v prohlášení.
