尽管有 1inch 的警告,以太坊的虚拟地址却流失了超过 300 万美元
根据 1inch 的调查结果,链接到虚拟地址的私钥可以通过计算来暴力攻击。
一名黑客设法从使用“Profanity”工具生成的几个以太坊地址中窃取了价值 330 万美元的加密货币。即使在去中心化交易所聚合器 1inch 警告用户发现一个严重的漏洞会危及数百万美元的风险之后,这些资金也被耗尽了。
它之前曾建议拥有使用 Profanity 工具生成的钱包地址的用户将其资产转移到不同的钱包。
1inch安全报告
2022 年初,1inch 贡献者观察到 Profanity 使用随机 32 位向量来播种 256 位私钥,并怀疑它可能不安全。经过进一步调查,发现了更多可疑活动,表明 Profanity 钱包已被盗用。
“1inch 贡献者检查了流行网络上最富有的虚拟地址,并得出结论,其中大多数不是由 Profanity 工具创建的。但 Profanity 是最流行的工具之一,因为它的效率很高。可悲的是,这只能意味着大部分 Profanity 钱包都被秘密入侵了。”
据 1inch 称,Profanity 恰好是一种流行且“高效”的工具,用户可以使用它每秒创建数百万个地址。然而,Profanity 用于生成地址的程序也并非完美无缺,并且容易受到攻击。
1inch 上周发布的安全披露报告还指出,该漏洞可能使黑客多年来“秘密”从 Profanity 用户的钱包中窃取数百万美元。贡献者目前正试图确定所有受损的虚拟地址。
警告发出后不久,区块链调查员 ZachXBT 通知了这次攻击,该攻击消耗了超过 300 万美元的资金。幸运的是,他的推文帮助用户从有权访问其钱包的黑客手中节省了 120 万美元的加密货币和 NFT。
Profanity开发者放弃项目
ZenGo 的安全负责人兼首席技术官 Tal Be'ery 表示,恶意实体可能一直“坐在”漏洞上,试图获取尽可能多的私钥,以获取漏洞百出的 Profanity 生成的虚拟地址。在检测到漏洞之前。然而,在被公开曝光1inch后,他们就套现了。
与此同时,一位在 Github 上化名为“johguse”的 Profanity 开发人员表示,他们几年前已经“放弃”了该项目。关于同一阅读的评论,
“这个项目几年前被我放弃了。私钥生成中的基本安全问题引起了我的注意。我强烈建议不要在当前状态下使用此工具。该存储库将很快进一步更新,提供有关此关键问题的更多信息。”
Scan QR code with WeChat