Decentraliserad börsaggregat 1inch hävdade den 15 september att ha upptäckt en allvarlig sårbarhet i Ethereum verktyg för generering av fåfänga adress svordomar. Detta har potential att sätta miljontals dollar i användarpengar på spel.
1inch grundare och VD Anton Bukov varnade ethereum-användare i en tweet att "medel inte är Safu", kryptospråk som används för att uttrycka att användarmedel riskerar att gå förlorade efter en hacka eller utnyttja.
"Överför alla dina tillgångar till en annan plånbok så snart som möjligt”, sa 1inch Network senare i en säkerhet rapport. "Om du använde svordomar för att få en smart kontraktsadress för fåfänga, se till att byta ägare till det smarta kontraktet."
Hundratals miljoner dollar i riskzonen
Svordomar är ett verktyg som gör att Ethereum-användare kan skapa "fåfängaadresser", en typ av anpassade kryptoplånböcker som innehåller igenkännbara namn eller nummer i dem. Det populära verktyget lanserades någon gång under 2017.
I sin rapport förklarade 1inch att de privata nycklarna till adresser som genererades på svordomar kunde beräknas med hjälp av brute force-attacker. Det hävdade sårbarhet kan ha tillåtit hackare att "i hemlighet" hämta miljontals dollar från Profanity-användares plånböcker i flera år.
"1tums bidragsgivare försöker fortfarande fastställa alla fåfängaadresser som hackades", sa outfiten och tillade:
"Det är inte en enkel uppgift, men vid det här laget ser det ut som att tiotals miljoner dollar i kryptovaluta kan stjälas, om inte hundratals miljoner. En bra sak är att bevis på hack är tillgängliga i kedjan för alltid."
Svordomsutvecklare: använd inte det här verktyget!
Svordomar anonym utvecklare, som går under namnet "johguse" på Github, sade att de "övergav" projektet för några år sedan efter att ha fått reda på "grundläggande säkerhetsproblem vid generering av privata nycklar."
"Jag avråder starkt från att använda det här verktyget i dess nuvarande tillstånd. Koden kommer inte att få några uppdateringar och jag har lämnat den i ett okompilerbart tillstånd. Använd något annat!" lade utvecklaren till.
Ethereum använder en kombination av offentliga och privata nycklar för att generera plånboksadresser – en lång lista med slumpmässiga alfanumeriska tecken. De som har den privata nyckeln till en adress kan godkänna överföringen av pengar från ett konto till ett annat, vilket bevisar att de äger pengarna.
Vanity-adresser genereras dock något annorlunda. 1inch detaljerade att svordomar, ett populärt och "mycket effektivt" verktyg, gjorde det möjligt för användare att skapa miljontals adresser per sekund och sökte efter de strängar av bokstäver och siffror som användarna begärde för en skräddarsydd plånboksadress.
1inch sa att metoden som användes av Profanity för att generera adresserna inte var idiotsäker och att publika nycklar från fåfängaadresser kunde beräknas med brute force-attacker.
"För några dagar sedan uppnådde 1-tums bidragsgivare proof-of-concept-kod som gjorde det möjligt för dem att återställa privata nycklar från alla fåfängaadresser som genererades med svordomar vid nästan samma tidpunkt som krävdes för att generera den fåfängaadressen," förklarade det.
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/