根据 1inch 的调查结果,链接到虚拟地址的私钥可以通过计算来暴力攻击。
一名黑客设法从使用“Profanity”工具生成的几个以太坊地址中窃取了价值 330 万美元的加密货币。即使在去中心化交易所聚合器 1inch 警告用户发现一个严重的漏洞会危及数百万美元的风险之后,这些资金也被耗尽了。
它之前曾建议拥有使用 Profanity 工具生成的钱包地址的用户将其资产转移到不同的钱包。
1inch安全报告
2022 年初,1inch 贡献者观察到 Profanity 使用随机 32 位向量来播种 256 位私钥,并怀疑它可能不安全。经过进一步调查,发现了更多可疑活动,表明 Profanity 钱包已被盗用。
“1inch 贡献者检查了流行网络上最富有的虚拟地址,并得出结论,其中大多数不是由 Profanity 工具创建的。但 Profanity 是最流行的工具之一,因为它的效率很高。可悲的是,这只能意味着大部分 Profanity 钱包都被秘密入侵了。”
据 1inch 称,Profanity 恰好是一种流行且“高效”的工具,用户可以使用它每秒创建数百万个地址。然而,Profanity 用于生成地址的程序也并非完美无缺,并且容易受到攻击。
1inch 上周发布的安全披露报告还指出,该漏洞可能使黑客多年来“秘密”从 Profanity 用户的钱包中窃取数百万美元。贡献者目前正试图确定所有受损的虚拟地址。
警告发出后不久,区块链调查员 ZachXBT 通知了这次攻击,该攻击消耗了超过 300 万美元的资金。幸运的是,他的推文帮助用户从有权访问其钱包的黑客手中节省了 120 万美元的加密货币和 NFT。
Profanity开发者放弃项目
ZenGo 的安全负责人兼首席技术官 Tal Be'ery 表示,恶意实体可能一直“坐在”漏洞上,试图获取尽可能多的私钥,以获取漏洞百出的 Profanity 生成的虚拟地址。在检测到漏洞之前。然而,在被公开曝光1inch后,他们就套现了。
与此同时,一位在 Github 上化名为“johguse”的 Profanity 开发人员表示,他们几年前已经“放弃”了该项目。关于同一阅读的评论,
“这个项目几年前被我放弃了。私钥生成中的基本安全问题引起了我的注意。我强烈建议不要在当前状态下使用此工具。该存储库将很快进一步更新,提供有关此关键问题的更多信息。”
2023-11-16 17:03
2023-11-14 17:08
2023-05-04 12:44
2023-03-30 20:42
2022-12-06 09:30
2022-11-17 20:09
2022-11-16 10:41
2022-11-04 11:10
2022-11-01 15:39
2022-10-20 15:16