1 اینچ: آسیب پذیری شدید در ابزار آدرس Vanity اتریوم میلیون ها دلار را به خطر می اندازد

جمع کننده مبادلات غیرمتمرکز 1inch در 15 سپتامبر ادعا کرد که یک آسیب پذیری شدید در Ethereum ابزار تولید آدرس غرور فحش. این پتانسیل این را دارد که میلیون ها دلار پول کاربر را در معرض خطر قرار دهد.

بنیانگذار و مدیر عامل 1inch آنتون بوکوف به کاربران اتریوم هشدار داد صدای جیر جیر که "وجوه سافو نیستند"، از زبان رمزنگاری استفاده می شود تا بیان کند که وجوه کاربران در معرض خطر از دست رفتن هستند. هک یا سوء استفاده کنید.

⚠️ توجه، اتریایی ها! بودجه SAFU نیست! مراقب استفاده از آدرس های بیهوده تولید شده توسط ابزار "فحاشی" باشید! علاوه بر این، مالکیت کیف‌پول‌های قراردادهای خود را بررسی کنید. https://t.co/5D9obk2tP9
— آنتون بوکوف 🦇🔊 ⚖️ (@k06a) سپتامبر 15، 2022

"تمام دارایی های خود را به دیگری منتقل کنید کیف پول در اسرع وقت،» شبکه 1inch بعداً در a تیم امنیت لاتاری گزارش. "اگر از Profanity برای دریافت آدرس قرارداد هوشمند استفاده کرده اید، مطمئن شوید که صاحبان آن قرارداد هوشمند را تغییر داده اید."

صدها میلیون دلار در خطر است

فحشا ابزاری است که به کاربران اتریوم اجازه می‌دهد تا «آدرس‌های بیهوده» را ایجاد کنند، نوعی کیف پول رمزنگاری سفارشی که حاوی نام‌ها یا اعداد قابل تشخیص است. این ابزار محبوب زمانی در سال 2017 راه اندازی شد.

1inch در گزارش خود توضیح داد که کلیدهای خصوصی آدرس‌های تولید شده در Profanity را می‌توان با استفاده از حملات brute force محاسبه کرد. مدعی شد آسیب پذیری ممکن است به هکرها اجازه داده باشد تا سال‌ها به طور مخفیانه میلیون‌ها دلار را از کیف‌پول‌های کاربران Profanity جمع‌آوری کنند.

این لباس گفت: "شرکت کنندگان 1 اینچی هنوز در تلاش هستند تا تمام آدرس های هک شده را تعیین کنند."

این کار ساده ای نیست، اما در این مرحله به نظر می رسد که ده ها میلیون دلار ارز دیجیتال ممکن است به سرقت برود، اگر نه صدها میلیون. یک چیز خوب این است که شواهد هک برای همیشه در زنجیره در دسترس هستند."

توسعه دهنده ناسزا: از این ابزار استفاده نکنید!

توسعه‌دهنده ناشناس ناسزا، که در Github با نام "johguse" استفاده می‌شود، گفت: که آنها چند سال پیش پس از اطلاع از "مسائل امنیتی اساسی در تولید کلیدهای خصوصی" پروژه را "رها کردند".

"من به شدت توصیه می کنم از استفاده از این ابزار در وضعیت فعلی خودداری کنید. کد هیچ به روز رسانی دریافت نمی کند و من آن را در حالت غیرقابل کامپایل گذاشته ام. از چیز دیگری استفاده کنید!» توسعه دهنده اضافه کرد.

اتریوم از ترکیبی از کلیدهای عمومی و خصوصی برای تولید آدرس‌های کیف پول استفاده می‌کند - لیستی طولانی از کاراکترهای الفبایی عددی تصادفی. کسانی که کلید خصوصی یک آدرس را دارند می‌توانند اجازه انتقال وجه را از یک حساب به حساب دیگر بدهند و ثابت کنند که مالک پول هستند.

آدرس‌های Vanity، با این حال، تا حدودی متفاوت تولید می‌شوند. 1inch توضیح داد که Profanity، یک ابزار محبوب و «بسیار کارآمد»، به کاربران اجازه می‌دهد میلیون‌ها آدرس در ثانیه ایجاد کنند و رشته‌هایی از حروف و اعداد درخواست شده توسط کاربران را برای آدرس کیف پول سفارشی جستجو کنند.

1inch گفت که روش استفاده شده توسط Profanity برای تولید آدرس‌ها بی‌خطر نبوده و کلیدهای عمومی از آدرس‌های Vanity را می‌توان با حملات brute force محاسبه کرد.

توضیح داده شده است: «چند روز پیش، مشارکت‌کنندگان 1 اینچی به کد اثبات مفهومی دست یافتند که به آنها امکان می‌داد کلیدهای خصوصی را از هر آدرسی که با Profanity ایجاد شده بود، در همان زمان که برای ایجاد آن آدرس غرور نیاز بود، بازیابی کنند.

سلب مسئولیت

تمام اطلاعات موجود در وب سایت ما با حسن نیت و فقط برای اهداف عمومی منتشر می شود. هر اقدامی که خواننده نسبت به اطلاعات موجود در وب سایت ما انجام می دهد ، کاملاً به خطر خود آنها است.

منبع: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/