צובר חליפין מבוזר 1inch טען ב-15 בספטמבר שגילה פגיעות חמורה ב Ethereum כלי ליצירת כתובת יהירות ניבולי פה. יש לזה פוטנציאל לסכן מיליוני דולרים בכסף המשתמש.
מייסד ומנכ"ל 1inch, אנטון בוקוב, הזהיר את משתמשי האתריום ב-XNUMX ציוץ ש"כספים הם לא סאפו", לשון קריפטו המשמשת לבטא שכספי המשתמש נמצאים בסיכון לאובדן בעקבות לפרוץ או לנצל.
"העבר את כל הנכסים שלך למקום אחר ארנק בהקדם האפשרי, "אמרה 1inch Network מאוחר יותר ב-a אבטחה לדווח. "אם השתמשת בלשון הרע כדי לקבל כתובת חוזה חכם של יוקרה, הקפד לשנות את הבעלים של החוזה החכם הזה."
מאות מיליוני דולרים בסיכון
ניבולי פה הוא כלי המאפשר למשתמשי Ethereum ליצור "כתובות יהירות", סוג של ארנקי קריפטו מותאמים אישית המכילים בתוכם שמות או מספרים ניתנים לזיהוי. הכלי הפופולרי הושק מתישהו ב-2017.
בדו"ח שלה, 1inch הסבירה שניתן לחשב את המפתחות הפרטיים לכתובות שנוצרו ב-Profanity באמצעות התקפות של כוח גס. זה טען את פגיעות ייתכן שאפשרו להאקרים לשאוב "בחשאי" מיליוני דולרים מהארנקים של משתמשי גסויות במשך שנים.
"תורמים של 1 אינץ' עדיין מנסים לקבוע את כל כתובות היוקרה שנפרצו", אמר התלבושת והוסיפה:
"זו לא משימה פשוטה, אבל בשלב זה נראה כי ניתן לגנוב עשרות מיליוני דולרים במטבעות קריפטוגרפיים, אם לא מאות מיליונים. דבר אחד טוב הוא שהוכחות לפריצות זמינות ברשת לנצח."
מפתח ניבולי פה: אל תשתמש בכלי זה!
מפתח אנונימי ניבולי פה, העונה לשם 'johguse' ב-Github, אמר שהם "נטשו" את הפרויקט לפני כמה שנים לאחר שגילו על "בעיות אבטחה בסיסיות ביצירת מפתחות פרטיים".
"אני ממליץ בחום לא להשתמש בכלי זה במצבו הנוכחי. הקוד לא יקבל עדכונים והשארתי אותו במצב לא ניתן להידור. השתמש במשהו אחר!" הוסיף המפתח.
Ethereum משתמש בשילוב של מפתחות ציבוריים ופרטיים כדי ליצור כתובות ארנק - רשימה ארוכה של תווים אלפאנומריים אקראיים. אלה שיש להם את המפתח הפרטי לכתובת יכולים לאשר העברת כספים מחשבון אחד למשנהו, מה שמוכיח שהם הבעלים של הכסף.
עם זאת, כתובות יוקרה נוצרות בצורה שונה. 1inch פירט שגנאי, כלי פופולרי ו"יעיל במיוחד", אפשר למשתמשים ליצור מיליוני כתובות בשנייה ולחפש את מחרוזות האותיות והמספרים שמשתמשים ביקשו לכתובת מותאמת לארנק.
1inch אמר כי השיטה שבה השתמשה ניבולי פה כדי ליצור את הכתובות אינה חסינת תקלות וכי ניתן לחשב מפתחות ציבוריים מכתובות יוקרה באמצעות התקפות של כוח גס.
"לפני מספר ימים, תורמים בגודל 1 אינץ' השיגו קוד הוכחת מושג המאפשר להם לשחזר מפתחות פרטיים מכל כתובת יוקרה שנוצרה עם ניבולי פה כמעט באותו זמן שנדרשה כדי ליצור כתובת יוקרה זו", הסביר.
כתב ויתור
כל המידע הכלול באתרנו מתפרסם בתום לב ולמידע כללי בלבד. כל פעולה שהקורא מבצע על המידע המצוי באתרנו הינה על אחריותם בלבד.
מקור: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/