Крыпта на суму каля 950,000 XNUMX долараў была выкрадзена з «марнага адраса» Ethereum, створанага з дапамогай інструмента пад назвай Profanity. Эксплойт выкарыстаў аналагічную ўразлівасць, звязаную з нядаўняя атака коштам 160 мільёнаў долараў на маркет-мейкер Wintermute.
«Марны адрас» - гэта тып крыпта-адраса, які адпавядае пэўным параметрам, устаноўленым стваральнікам, часта прадстаўляючы іх брэнд або імя.
Замест таго, каб крыптаадрас быў выпадковым, згенераваным машынай радком лічбаў і літар, адрас марнасці быў бы створаны чалавекам. Вось па гэтай прычыне карыстальнікаў на GitHub паказалі, што гэтыя тыпы адрасоў больш уразлівыя да нападаў грубай сілы.
,en хакер скраў 732 Эфириума 25 верасня, перш чым пералічыць сродкі прама на цяпер санкцыянаваны crypto mixer Tornado Cash, па дадзеных з ПекШылд.
Нягледзячы на тое, што менавіта карыстальнікі GitHub першымі знайшлі падрабязнасці аб атацы, потым яе апублікаваў агрэгатар дэцэнтралізаванай біржы (DEX) 1Inch Network, які загадаў карыстальнікам «як мага хутчэй перавесці ўсе вашы актывы ў іншы кашалёк». абмен блог пра тое, як эксплойт, верагодна, спрацаваў.
Пасля нападаў распрацоўшчыкі Profanity прынялі меры, каб ніхто не працягваў выкарыстоўваць гэты інструмент.
Распрацоўшчыкі пакінулі код Profanity у некампіляваным стане, а сховішча заархівавана. Код больш не настроены на атрыманне абнаўленняў.
Дармаедныя адрасы і крыптавыя ўзломы
Нядаўна генеральны дырэктар Wintermute Яўген Гаевы прызнаўся ў Twitter што маштабная атака на яго кампанію «верагодна, была звязана з эксплойтам тыпу Profanity нашага гандлёвага кашалька DeFi».
Гаевой сказаў, што яго кампанія, якая прадастаўляе паслугі алгарытмічнага маркет-мэйкінгу, выкарыстала «нецэнзурную лексіку і ўнутраны інструмент для генерацыі адрасоў з вялікай колькасцю нулёў наперадзе», але сцвярджаў, што «прычынай гэтага была аптымізацыя газу, а не марнасць».
Нас узламалі каля 160 мільёнаў долараў у нашых аперацыях дэфі. Аперацыі Cefi і OTC не закрануты
— пажаданы цынік (@EvgenyGaevoy) Верасень 20, 2022
На дадзены момант ніхто з злачынцаў не паведаміў аб нападзе Wintermute або апошнім інцыдэнце, і сродкі не былі вернутыя. Маркет-мейкер пагражае судом і прапанаваў узнагароду ў памеры 16 мільёнаў долараў за вяртанне сродкаў.
Учорашні эксплойт і Wintermute таксама могуць быць толькі вяршыняй айсберга.
У сваім паведамленні ў блогу 1Inch выказаў здагадку, што дадатковыя эксплойты яшчэ не выяўлены, дадаўшы, што «ўдзельнікі 1inch усё яшчэ спрабуюць вызначыць усе адрасы ганарыстасці, якія былі ўзламаныя», і што «падобна на тое, што дзясяткі мільёнаў долараў у крыптавалюце могуць быць скрадзеныя , калі не сотні мільёнаў».
Будзьце ў курсе крыпта-навін, атрымлівайце штодзённыя абнаўленні ў паштовай скрыні.
Крыніца: https://decrypt.co/110526/hackers-nab-nearly-1-million-crypto-ethereum-vanity-adress-exploit