Паводле паведамленняў ад 950,000 верасня 26 года, усяго праз тыдзень пасля ўзлому Wintermute з крыпта-кашалька было скрадзена 2022 XNUMX долараў у эфіры (ETH) праз эксплойт «марны адрас».
Ненарматыўная лексіка падвяргаецца нападу
26 верасня Peckshield, фірма па бяспецы блокчейнов чирикнул што хакер скраў эфір на суму 950,000 XNUMX долараў (ETH) з кашалька криптовалюты. Хак меў шмат падабенства з узломам на 160 мільёнаў долараў на Wintermute на мінулым тыдні.
ПекШылд кажа, што 732 верасня хакер скраў 25 ETH з криптовалютного кашалька і змяшаў іх з іншымі крыптафондамі з дапамогай санкцыянаванай службы крыпта-міксавання, Tornado Cash. Затым сродкі былі паспяхова пераведзены на крыпта-кашалёк дрэннага акцёра.
Эксперты паказалі, што апошняе крадзеж было паспяховым з-за слабасці ў генератары дармаедных адрасоў, якая ўпершыню была выяўлена на GitHub у студзені 2022 года. Аб уразлівасцях стала вядома ў верасні, калі дэцэнтралізаваны абменны агрэгатар 1inch выявіў фундаментальныя праблемы бяспекі з дапамогай інструмента Profanity .
Для недасведчаных, як ужо згадвалася, інструмент Profanity - гэта генератар адрасоў кашалька. У той час як большасць адрасоў кашалькоў Ethereum ствараюцца выпадковым чынам, гэтыя спецыяльныя адрасы ствараюцца з пэўным тэрмінам, напрыклад, чыімсьці імем, дзесьці ў адрасе.
па 1 цаля, Многія адрасы ганарыстасці, якія былі згенераваны інструментам ненарматыўнай лексікі, падвяргаюцца рызыцы гэтых эксплойтаў, якія патрабуюць атакі грубай сілы. Нягледзячы на тое, што выкананне гэтай атакі запатрабуе велізарнай вылічальнай магутнасці, хакеры ўсё роўна палічаць правядзенне гэтых атак карысным практыкаваннем, калі ў кашальку знаходзіцца вялікая колькасць крыпты.
Крадзяжы крыпта і DeFi працягваюцца
Парушэнні бяспекі і ўзломы сталі нястрымнымі ў крыптасектары, з Defi пратаколы атрымалі найбольшы ўдар. Тыдзень таму хакеры скралі 160 мільёнаў долараў у вытворца крыптамаркетаў зімой ням. Пазней высветлілася, што ўзлом стаў магчымым дзякуючы таму, што адзін з адрасоў Wintermute меў уласцівасці адраса марнасці, што магло быць коранем уразлівасці.
Відавочна, што праблема будзе яшчэ горш. У адпаведнасці з паведамляцьs, Па стане на ліпень 1.9 года кіберзлачынцамі было выкрадзена больш за 2022 мільярда долараў у крыптаграфіі, што значна больш, чым 1.2 мільярда долараў, скрадзеных за той жа перыяд у 2021 годзе.
Распрацоўшчыкі Ethereum выстаўляюць прапанову «Кнопка адмены».
Рост частаты ўзломаў крыпты ў 2022 годзе прымусіў групу даследчыкаў сфармуляваць новую прапанову для двух новых стандартаў токенаў Ethereum: ERC20R і ERC721R. Прапанаваныя новыя стандарты токенаў з'яўляюцца пашырэннямі існуючых ERC20 і ERC721 і цяпер будуць уключаць магчымасць адвароту шкоднасных транзакцый.
Прапанаваныя стандарты токенаў будуць аб'ядноўваць сімвалічны кантракт і кантракт на кіраванне, калі апошні кантралюецца дэцэнтралізаванай судовай сістэмай. Згодна з прапановай, карыстальнікі, якія сталі ахвярамі ўзлому, могуць зрабіць запыт на замарозку смарт-кантракту кіравання з пацвярджаючымі доказамі.
Затым запыт на замарозку будзе перададзены брыгадзе дэцэнтралізаваных суддзяў, якія затым будуць галасаваць, каб вырашыць, ці ёсць істотныя доказы для замарожвання сродкаў або іншым чынам.
Калі большасць суддзяў прагаласуе за замарожванне, то будзе распачаты суд. Падчас суда абодва бакі (ахвяра і хакер) могуць прадставіць свае доказы дэцэнтралізаваным суддзям, якія зноў прагаласуюць па выніках.
Нягледзячы на тое, што ідэя можа знізіць рызыку парушэння бяспекі, многія ў крыптапрасторы раскрытыкавалі гэтую прапанову, заявіўшы, што такія ініцыятывы супярэчаць асноватворным прынцыпам тэхналогіі блокчейн. Некаторыя крытыкі таксама адзначылі, што даданне функцыі зваротнасці ў кантракты токенаў ERC20 можа ўскладніць іх інтэграцыю ў дэцэнтралізаваныя прыкладанні.
Крыніца: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/