褻瀆繼續造成損害——不久前,1inch 團隊發現了褻瀆工具的一個重大缺陷。警告不會阻止黑客竊取數百萬美元的加密貨幣。
褻瀆:缺陷背後的工具
9 月15 日,1inch 協議團隊發布了一篇博客文章,揭示了一個重大缺陷。
此缺陷會影響褻瀆工具。在實踐中,該工具可以生成個性化地址,也稱為虛地址。例如,地址0x00000000000000000000000000000000000dEaD 是一個虛地址。
然而,在生成這些地址的方法中發現了一個缺陷,允許重新生成某些地址的私鑰。
不幸的是,這個警告不足以解決問題。事實上,在論文發表僅5 天后,這個漏洞就開始成為它的第一批受害者。開始
因此,Wintermute 做市商平台被黑了1.6 億美元。事實上,該平台有一個熱錢包,其地址是由Profanity 生成的。
通過各種通信,Wintermute 解釋說它使用這種類型的地址來優化gas 的使用(交易成本)。已被證明成本極高的優化。
與此同時,Indexed Finance 黑客也成為了他的名利場地址的攻擊目標。結果,一名攻擊者設法從他那裡竊取了330 萬美元。他可能是第一個成為這種攻擊的受害者。
隨後,同一位攻擊者從其他十幾個虛名地址竊取了額外的1,200 ETH(160 萬美元)。
另有950,000 美元被盜
顯然,利用該漏洞的不止Wintermute 黑客。因此,在9 月26 日,專門從事區塊鏈安全的公司Peckshield 警告說新的攻擊。
實際上,攻擊者從使用褻瀆工俱生成的地址中竊取了950,000 美元的加密貨幣。
“看起來950,000 美元的加密貨幣被0x9731F 從一個名為Profanity 的工俱生成的“以太坊虛名地址”中竊取。 剝削者已經將約732 美元的ETH 轉移到了混合器中。 »
Peckshield 宣布通過褻瀆漏洞進行新的攻擊——來源:Twitter。
因此,在意識到他的盜竊行為後,攻擊者迅速將他的資金轉移到Tornado Cash 協議以掩蓋他的踪跡。
加密貨幣生態系統中有許多攻擊媒介。大多數情況下,這些都是由第三方工具引入的。這就是大約40 個交易平台在使用JavaScript 庫後發現自己面臨風險的原因。這些攻擊可能會造成系統性風險,這在我們最近的網絡不安全系列中得到了強調。
加密貨幣讓央行顫抖?讓他們感受自己的情緒吧相反,通過AscendEX Earn 為你的加密貨幣尋求可觀的回報。立即在AscendEX 註冊(贊助鏈接)。
文章以太坊:黑客繼續盛宴感謝致命缺陷褻瀆首先出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載