Aggregatore di scambio decentralizzato 1inch ha affermato il 15 settembre di aver scoperto una grave vulnerabilità in Ethereum strumento per la generazione di indirizzi vanity volgarità. Questo ha il potenziale per mettere a rischio milioni di dollari in denaro degli utenti.
Il fondatore e CEO di 1inch Anton Bukov ha avvertito gli utenti di Ethereum in a Tweet che "i fondi non sono Safu", gergo crittografico usato per esprimere che i fondi degli utenti sono a rischio di perdita a seguito di a hackerare o sfruttare.
“Trasferisci tutte le tue risorse in un altro portafoglio il prima possibile", ha affermato in seguito 1inch Network in a problemi di rapporto. "Se hai usato Profanity per ottenere un indirizzo di un contratto intelligente di vanità, assicurati di cambiare i proprietari di quel contratto intelligente."
Centinaia di milioni di dollari a rischio
Profanity è uno strumento che consente agli utenti di Ethereum di creare "vanity address", un tipo di portafogli crittografici personalizzati che contengono nomi o numeri riconoscibili al loro interno. Il popolare strumento è stato lanciato nel 2017.
Nel suo rapporto, 1inch ha spiegato che le chiavi private degli indirizzi generati su Profanity potrebbero essere calcolate usando attacchi di forza bruta. Ha affermato il vulnerabilità potrebbe aver consentito agli hacker di sottrarre "segretamente" milioni di dollari dai portafogli degli utenti di Profanity per anni.
"I contributori da 1 pollice stanno ancora cercando di determinare tutti gli indirizzi di vanità che sono stati violati", ha affermato l'outfit, aggiungendo:
“Non è un compito semplice, ma a questo punto sembra che potrebbero essere rubate decine di milioni di dollari in criptovaluta, se non centinaia di milioni. Una cosa buona è che le prove di hack sono disponibili sulla catena per sempre".
Sviluppatore di parolacce: non utilizzare questo strumento!
Sviluppatore anonimo di volgarità, che si fa chiamare 'johguse' su Github, disse che hanno "abbandonato" il progetto alcuni anni fa dopo aver scoperto "problemi di sicurezza fondamentali nella generazione di chiavi private".
“Sconsiglio vivamente di utilizzare questo strumento nel suo stato attuale. Il codice non riceverà alcun aggiornamento e l'ho lasciato in uno stato non compilabile. Usa qualcos'altro!" lo sviluppatore ha aggiunto.
Ethereum utilizza una combinazione di chiavi pubbliche e private per generare indirizzi di portafoglio: un lungo elenco di caratteri alfanumerici casuali. Coloro che hanno la chiave privata di un indirizzo possono autorizzare il trasferimento di fondi da un conto all'altro, dimostrando di essere il proprietario del denaro.
Gli indirizzi vanity, tuttavia, vengono generati in modo leggermente diverso. 1inch ha spiegato in dettaglio che Profanity, uno strumento popolare e "altamente efficiente", consentiva agli utenti di creare milioni di indirizzi al secondo e cercava quelle stringhe di lettere e numeri richiesti dagli utenti per un indirizzo di portafoglio su misura.
1inch ha affermato che il metodo utilizzato da Profanity per generare gli indirizzi non era infallibile e che le chiavi pubbliche degli indirizzi vanity potevano essere calcolate con attacchi di forza bruta.
"Pochi giorni fa, i contributori di 1inch hanno ottenuto un codice proof-of-concept che consente loro di recuperare chiavi private da qualsiasi indirizzo di cortesia generato con Profanity quasi nello stesso momento in cui era necessario per generare quell'indirizzo di cortesia", ha spiegato.
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/