Kể từ khi ngành công nghiệp tiền điện tử mở rộng tốc độ phát triển, ngành này đã trở thành nơi ưa thích của các tin tặc. Các địa chỉ Ethereum ảo được tạo thông qua công cụ Profanity hiện đã trở thành lỗ hổng mới nhất để lừa hàng triệu người dùng tiền điện tử.
Theo công ty cung cấp thông tin chi tiết thị trường, các địa chỉ tùy chỉnh Etherscan, Ethereum được tạo thông qua công cụ Profanity đã bị tấn công bởi một tin tặc đã đánh cắp gần 3,3 triệu đô la từ một số địa chỉ ETH tùy chỉnh.
ZachXBT, một chuyên gia theo dõi hoạt động của tin tặc, lần đầu tiên phát hiện và thông báo về vụ vi phạm bắt đầu vào ngày 16 tháng 9. Kẻ gian ẩn danh cũng bảo quản NFT của người dùng trị giá 1,2 triệu đô la, người đã chuyển tài sản của mình khỏi các địa chỉ hư không sau khi được thông báo.
Địa chỉ vô nghĩa giống như một số lượng vàng các phương tiện mà những người lái xe trả tiền cao để cố gắng thể hiện. Có thể, địa chỉ ảo không liên quan đến tên của một người hoặc thông tin mong muốn xuất hiện dưới dạng địa chỉ phân biệt được tạo thông qua các công cụ như Profanity.
Các lỗ hổng Profanity của 1Inch bị phơi bày trước khi khai thác
Điều đáng chú ý là công ty tổng hợp trao đổi phi tập trung 1Inch, người trước đây đã đề xuất sử dụng công cụ này, đã thông báo cho cộng đồng trước vụ hack rằng các địa chỉ ảo có lỗ hổng cao hơn. Trong báo cáo được công bố vào tuần trước, công ty đề xuất người dùng chuyển tiền của họ từ các địa chỉ ví được thực hiện bằng cách sử dụng Profanity.
1Inch nói rằng Profanity đã trở thành một công cụ nổi bật để tạo ra hàng triệu địa chỉ trong một giây và cộng đồng tiền điện tử rộng lớn hơn đang sử dụng nó. Tuy nhiên, sau đó, những người đóng góp của 1Inch đã phát hiện ra quy trình đã sử dụng không hoàn hảo và dễ bị khai thác.
Các chuyên gia lưu ý rằng quy trình của công cụ này sử dụng vector 32 bit để tạo mã 256 bit, được gọi là khóa riêng. Và quá trình này đã được công nhận là không an toàn trong báo cáo:
Những người đóng góp cho 1 inch đã kiểm tra các địa chỉ ảo phong phú nhất trên các mạng phổ biến và đi đến kết luận rằng hầu hết chúng không được tạo bởi công cụ Profanity. Nhưng công cụ này là một trong những công cụ phổ biến nhất do tính hiệu quả cao. Đáng buồn thay, điều đó chỉ có thể có nghĩa là hầu hết các ví Profanity đã bị tấn công bí mật.
Tin tặc rút tiền bị đánh cắp sau báo cáo của 1Inch
Theo ZachXBT, tin tặc đã rút sạch tiền từ các địa chỉ ví được nhắm mục tiêu ngay sau khi báo cáo 1Inch tiết lộ các lỗ hổng bảo mật. Sau đó, tin tặc đã chuyển các khoản tiền bị đánh cắp sang một địa chỉ Ethereum mới.
Tal Be’eryBe’ery, giám đốc văn phòng công nghệ và giám đốc an ninh tại ZenGo, đã bình luận về vụ vi phạm;
“Có vẻ như những kẻ tấn công đang ngồi trên lỗ hổng bảo mật này, cố gắng tìm càng nhiều khóa cá nhân càng tốt của các địa chỉ ảo được tạo ra từ Profanity dễ bị tấn công trước khi lỗ hổng được biết đến. Sau khi 1 inch công khai, những kẻ tấn công đã kiếm tiền trong vài phút từ nhiều địa chỉ ảo. “
Ngoài ra, một nhà phát triển Profanity cũng đã cảnh báo người dùng về các lỗ hổng mà anh ta đã tìm thấy trong mã vài năm trước. Nhà phát triển đã nêu bật các vấn đề trên GitHub và từ bỏ dự án bằng cách tiết lộ trạng thái hiện tại của công cụ là không an toàn để sử dụng.
