黑客从以太坊“Vanity Adress”漏洞中获得近 100 万美元加密货币
黑客很可能使用先前利用的与虚地址生成器亵渎相关的弱点进行“蛮力”攻击。
价值约 950,000 美元的加密货币从使用名为 Profanity 的工具生成的以太坊“虚名地址”中被盗。该漏洞利用了与最近对做市商 Wintermute的1.6 亿美元攻击相关的类似漏洞。
“虚名地址”是一种加密地址,符合创建者制定的某些参数,通常代表他们的品牌或名称。
密码地址不是随机的、机器生成的数字和字母字符串,而是人为生成的虚地址。正是出于这个原因,GitHub 上的用户表示这些类型的地址更容易受到暴力攻击。
根据PeckShield的数据,黑客于 9 月 25 日 窃取了 732 个以太坊,然后将资金直接转移到现已获准的加密货币混合器 Tornado Cash 。
尽管是 GitHub 的用户首先发现了有关攻击的详细信息,但随后由去中心化交易所 (DEX) 聚合器 1Inch Network 公布,该网络告诉用户“尽快将你的所有资产转移到不同的钱包”,并分享了一篇关于如何攻击的博客。漏洞利用可能已经奏效。
在攻击之后,Profanity 背后的开发人员已采取措施确保没有人继续使用该工具。
Profanity 的代码已被其开发人员置于不可编译的状态,存储库已被归档。该代码未设置为接收更多更新。
虚荣地址和加密黑客
Wintermute 首席执行官 Evgeny Gaevoy 最近在 Twitter 上承认,针对他的公司的大规模攻击“可能与我们的 DeFi 交易钱包的亵渎型攻击有关”。
Gaevoy 表示,他的公司提供算法做市服务,使用“亵渎和内部工具来生成前面有许多零的地址”,但坚持“这背后的原因是气体优化,而不是虚荣。”
到目前为止,还没有肇事者就温特穆特袭击或最近的事件站出来,也没有追回任何资金。这家做市商威胁要采取法律行动,并已提供 1600 万美元的赏金以返还资金。
昨天的利用和温特穆特的利用可能也只是冰山一角。
在其博客文章中,1Inch 表示尚未发现其他漏洞,并补充说“1inch 贡献者仍在试图确定所有被黑客入侵的虚荣地址”,并且“看起来数千万美元的加密货币可能被盗,如果不是数亿的话。”
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場