Хакі і эксплойты працягваюць даймаць дэцэнтралізаваныя фінансы (DeFi) сектар, калі яшчэ адзін адрас кашалька дармаедства далучаецца да спісу ахвяр DeFi, якія ў сукупнасці страцілі больш за $ 1.6 млрд. 2022.
У папярэджанні, апублікаваным кампаніяй бяспекі блокчейна PeckShield, хакер быў выяўлены пасля крадзяжу 732 эфіру (ETH), каля 950,000 XNUMX долараў, з адраса, створанага ў генератары адрасоў кашалька Ethereum пад назвай Profanity. Пасля асушэння кашалька эксплуататары накіравалі крыпту нядаўна пад санкцыямі крыпта міксер Tornado Cash.
#PeckShieldAlert Падобна на тое, што крыпта на суму 950 тысяч долараў была скрадзена 0x9731F з «марнага адраса» Ethereum, створанага з дапамогай інструмента пад назвай «Ненарматыўная лексіка». Эксплуататар ужо перадаў ~732 $ ETH у міксер pic.twitter.com/QOZfnE49H4
— PeckShieldAlert (@PeckShieldAlert) Верасень 26, 2022
Адрасы марнасці - гэта наладжаныя адрасы крыптакашалькоў, якія генеруюцца для ўключэння слоў або пэўных сімвалаў, выбраных уладальнікам. Аднак, як паказалі нядаўнія эксплойты, бяспека дармаедных адрасоў застаецца пад пытаннем.
Раней у верасні, агрэгатар дэцэнтралізаванай біржы (DEX). 1inch Network папярэдзіла членаў суполкі, што іх адрасы не з'яўляюцца бяспечнымі, калі яны ствараюцца з дапамогай ненарматыўнай лексікі. DEX заклікаў трымальнікаў крыпта з дармаеднымі адрасамі неадкладна перадаць свае актывы. Згодна з 1inch, генератар дармаедных адрасоў выкарыстаў выпадковы 32-бітны вектар для запаўнення 256-бітных закрытых ключоў, што азначае, што яму не хапае бяспекі.
Пасля папярэджанняў агрэгатара DEX ZachXBT, даследчык блокчейна, абвясціў, што выкарыстанне ўразлівасці ў Profanity ужо дазволіла некаторым хакерам сысці з лічбавых актываў на суму 3.3 мільёна долараў.
Па тэме: Белы капялюш: я вярнуў большую частку скрадзеных сродкаў Nomad, і ўсё, што я атрымаў, гэта дурны NFT
20 верасня вытворца крыптамаркетаў, які базуецца ў Вялікабрытаніі, пацярпеў ад эксплойту прывяло да 160 мільёнаў долараў страт. Па словах даследчыка Аджая Дхінгры, эксплойт мог быць звязаны з тым, што гарачы кашалёк фірмы быў скампраметаваны і маніпуляваў памылкай у смарт-кантракце. Яўген Гаевы, заснавальнік і генеральны дырэктар фірмы, заклікаў зламыснікаў звязацца з імі, бо яны гатовыя разглядаць эксплойт як хак.
Крыніца: https://cointelegraph.com/news/almost-1m-in-crypto-stolen-from-vanity-address-exploit