Lỗ hổng trong các khóa riêng tư được tạo bởi trình tạo khóa ảo Profanity phổ biến đã được ghi nhận vào tháng 1 và đã dính líu đến ít nhất một vụ hack lớn.
Công ty an ninh mạng blockchain Certik cho biết một khóa cá nhân dễ bị tấn công đã bị tấn công trong vụ hack Wintermute. Một lỗ hổng trong các khóa riêng tư do ứng dụng Profanity tạo ra có thể đã bị khai thác. Lỗ hổng bảo mật đã được biết đến ít nhất là vào tháng 1.
Nhà sản xuất thị trường tiền điện tử thuật toán có trụ sở tại Vương quốc Anh đã công bố vụ hack vào thứ Ba và cho biết các hoạt động tài chính tập trung và mua bán trực tiếp không bị ảnh hưởng. Khoảng 162,5 triệu đô la tiền điện tử đã bị đánh cắp. Giám đốc điều hành Wintermute Evgeny Gaevoy cho biết trong một tweet: “Chúng tôi có khả năng thanh toán với số tiền gấp đôi số vốn chủ sở hữu còn lại.
Certik cho biết trong một bài đăng trên blog rằng vụ tấn công là do khóa cá nhân bị rò rỉ hoặc bị cưỡng chế, chứ không phải do lỗ hổng hợp đồng thông minh:
“Kẻ khai thác đã sử dụng một chức năng đặc quyền với việc rò rỉ khóa riêng tư để chỉ định rằng hợp đồng hoán đổi là hợp đồng do kẻ tấn công kiểm soát.”
Công ty nói thêm rằng một lỗ hổng trong trình tạo địa chỉ Profanity phổ biến có thể là do lỗi trong vụ hack.
Certik lưu ý rằng mạng 1inch của sàn giao dịch phi tập trung đã tiết lộ lỗ hổng rõ ràng trong một bài đăng trên blog vào ngày 13 tháng 9 và cảnh báo sau đó trên Twitter. Người dùng 1 inch đã phát hiện ra lỗ hổng bảo mật sau khi một đợt airdrop đáng ngờ diễn ra vào tháng 6. 1inch đã nói trên blog của mình:
“Profanity là một trong những công cụ phổ biến nhất do tính hiệu quả cao. Đáng buồn thay, điều đó chỉ có thể có nghĩa là hầu hết các ví Profanity đã bị tấn công bí mật. “
Lỗ hổng này được cho là nguyên nhân gây ra vụ hack 3,3 triệu đô la vào ngày 13 tháng 9. Người dùng GitHub đã phát hiện ra vấn đề vào tháng 1 năm 2022, khiến nhà phát triển từ bỏ dự án và sau đó lưu trữ nó vào ngày 15 tháng 9.
” Chạy ngay đi, bạn đã bị lừa.Tiền của bạn không an toàn nếu bạn tạo ví từ công cụ Profanity. Hãy chuyển tiền sang ví khác càng sớm càng tốt.”
Khóa riêng tư có nguồn gốc từ cụm từ hạt giống của người dùng, là danh sách gồm 12–24 từ được liên kết với ví cho phép người dùng khôi phục tiền điện tử trong ví, ngay cả khi ví bị mất hoặc bị xóa.
Theo Certik, khoảng 273,9 triệu đô la đã bị mất trong năm nay do các khóa cá nhân bị xâm phạm, khiến phương pháp này trở thành “một trong những phương tiện tấn công lớn nhất”. Cuộc tấn công Wintermute cho đến nay là cuộc tấn công lớn nhất, với vụ hack Harmony Protocol vào tháng 6, đứng thứ hai với 97 triệu đô la.
