根據1inch 的調查結果,鏈接到虛擬地址的私鑰可以通過計算來暴力攻擊。
一名黑客設法從使用“Profanity”工俱生成的幾個以太坊地址中竊取了價值330 萬美元的加密貨幣。即使在去中心化交易所聚合器1inch 警告用戶發現一個嚴重的漏洞會危及數百萬美元的風險之後,這些資金也被耗盡了。
它之前曾建議擁有使用Profanity 工俱生成的錢包地址的用戶將其資產轉移到不同的錢包。
1inch安全報告
2022 年初,1inch 貢獻者觀察到Profanity 使用隨機32 位向量來播種256 位私鑰,並懷疑它可能不安全。經過進一步調查,發現了更多可疑活動,表明Profanity 錢包已被盜用。
“1inch 貢獻者檢查了流行網絡上最富有的虛擬地址,並得出結論,其中大多數不是由Profanity 工具創建的。但Profanity 是最流行的工具之一,因為它的效率很高。可悲的是,這只能意味著大部分Profanity 錢包都被秘密入侵了。”
據1inch 稱,Profanity 恰好是一種流行且“高效”的工具,用戶可以使用它每秒創建數百萬個地址。然而,Profanity 用於生成地址的程序也並非完美無缺,並且容易受到攻擊。
1inch 上週發布的安全披露報告還指出,該漏洞可能使黑客多年來“秘密”從Profanity 用戶的錢包中竊取數百萬美元。貢獻者目前正試圖確定所有受損的虛擬地址。
警告發出後不久,區塊鏈調查員ZachXBT 通知了這次攻擊,該攻擊消耗了超過300 萬美元的資金。幸運的是,他的推文幫助用戶從有權訪問其錢包的黑客手中節省了120 萬美元的加密貨幣和NFT。
Profanity開發者放棄項目
ZenGo 的安全負責人兼首席技術官Tal Be’ery 表示,惡意實體可能一直“坐在”漏洞上,試圖獲取盡可能多的私鑰,以獲取漏洞百出的Profanity 生成的虛擬地址。在檢測到漏洞之前。然而,在被公開曝光1inch後,他們就套現了。
與此同時,一位在Github 上化名為“johguse”的Profanity 開發人員表示,他們幾年前已經“放棄”了該項目。關於同一閱讀的評論,
“這個項目幾年前被我放棄了。私鑰生成中的基本安全問題引起了我的注意。我強烈建議不要在當前狀態下使用此工具。該存儲庫將很快進一步更新,提供有關此關鍵問題的更多信息。”
OKEX下載,歐易下載,OKX下載
okex交易平台app下載