جمع کننده مبادلات غیرمتمرکز 1inch در 15 سپتامبر ادعا کرد که یک آسیب پذیری شدید در Ethereum ابزار تولید آدرس غرور فحش. این پتانسیل این را دارد که میلیون ها دلار پول کاربر را در معرض خطر قرار دهد.
بنیانگذار و مدیر عامل 1inch آنتون بوکوف به کاربران اتریوم هشدار داد صدای جیر جیر که "وجوه سافو نیستند"، از زبان رمزنگاری استفاده می شود تا بیان کند که وجوه کاربران در معرض خطر از دست رفتن هستند. هک یا سوء استفاده کنید.
"تمام دارایی های خود را به دیگری منتقل کنید کیف پول در اسرع وقت،» شبکه 1inch بعداً در a تیم امنیت لاتاری گزارش. "اگر از Profanity برای دریافت آدرس قرارداد هوشمند استفاده کرده اید، مطمئن شوید که صاحبان آن قرارداد هوشمند را تغییر داده اید."
صدها میلیون دلار در خطر است
فحشا ابزاری است که به کاربران اتریوم اجازه میدهد تا «آدرسهای بیهوده» را ایجاد کنند، نوعی کیف پول رمزنگاری سفارشی که حاوی نامها یا اعداد قابل تشخیص است. این ابزار محبوب زمانی در سال 2017 راه اندازی شد.
1inch در گزارش خود توضیح داد که کلیدهای خصوصی آدرسهای تولید شده در Profanity را میتوان با استفاده از حملات brute force محاسبه کرد. مدعی شد آسیب پذیری ممکن است به هکرها اجازه داده باشد تا سالها به طور مخفیانه میلیونها دلار را از کیفپولهای کاربران Profanity جمعآوری کنند.
این لباس گفت: "شرکت کنندگان 1 اینچی هنوز در تلاش هستند تا تمام آدرس های هک شده را تعیین کنند."
این کار ساده ای نیست، اما در این مرحله به نظر می رسد که ده ها میلیون دلار ارز دیجیتال ممکن است به سرقت برود، اگر نه صدها میلیون. یک چیز خوب این است که شواهد هک برای همیشه در زنجیره در دسترس هستند."
توسعه دهنده ناسزا: از این ابزار استفاده نکنید!
توسعهدهنده ناشناس ناسزا، که در Github با نام "johguse" استفاده میشود، گفت: که آنها چند سال پیش پس از اطلاع از "مسائل امنیتی اساسی در تولید کلیدهای خصوصی" پروژه را "رها کردند".
"من به شدت توصیه می کنم از استفاده از این ابزار در وضعیت فعلی خودداری کنید. کد هیچ به روز رسانی دریافت نمی کند و من آن را در حالت غیرقابل کامپایل گذاشته ام. از چیز دیگری استفاده کنید!» توسعه دهنده اضافه کرد.
اتریوم از ترکیبی از کلیدهای عمومی و خصوصی برای تولید آدرسهای کیف پول استفاده میکند - لیستی طولانی از کاراکترهای الفبایی عددی تصادفی. کسانی که کلید خصوصی یک آدرس را دارند میتوانند اجازه انتقال وجه را از یک حساب به حساب دیگر بدهند و ثابت کنند که مالک پول هستند.
آدرسهای Vanity، با این حال، تا حدودی متفاوت تولید میشوند. 1inch توضیح داد که Profanity، یک ابزار محبوب و «بسیار کارآمد»، به کاربران اجازه میدهد میلیونها آدرس در ثانیه ایجاد کنند و رشتههایی از حروف و اعداد درخواست شده توسط کاربران را برای آدرس کیف پول سفارشی جستجو کنند.
1inch گفت که روش استفاده شده توسط Profanity برای تولید آدرسها بیخطر نبوده و کلیدهای عمومی از آدرسهای Vanity را میتوان با حملات brute force محاسبه کرد.
توضیح داده شده است: «چند روز پیش، مشارکتکنندگان 1 اینچی به کد اثبات مفهومی دست یافتند که به آنها امکان میداد کلیدهای خصوصی را از هر آدرسی که با Profanity ایجاد شده بود، در همان زمان که برای ایجاد آن آدرس غرور نیاز بود، بازیابی کنند.
سلب مسئولیت
تمام اطلاعات موجود در وب سایت ما با حسن نیت و فقط برای اهداف عمومی منتشر می شود. هر اقدامی که خواننده نسبت به اطلاعات موجود در وب سایت ما انجام می دهد ، کاملاً به خطر خود آنها است.
منبع: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/