בקושי שבוע לאחר הפריצה של Wintermute, 950,000 דולר ב-Ether (ETH) נגנבו מארנק קריפטו באמצעות ניצול של "כתובת יהירות", לפי דיווחים ב-26 בספטמבר 2022.
כתובות יהירות שנוצרו בלשון הרע תחת התקפה
ב-26 בספטמבר, Peckshield, חברת אבטחת בלוקצ'יין צייץ שהאקר גנב אתר בשווי 950,000 דולר (ETH) מארנק קריפטו. לפריצה היו הרבה קווי דמיון לפריצה של 160 מיליון דולר על Wintermute בשבוע שעבר.
פק שילד אומר שההאקר גנב 732 ETH מארנק מטבעות קריפטוגרפיים ב-25 בספטמבר וערבב אותו עם קרנות קריפטו אחרות באמצעות שירות ערבוב קריפטו שאושר, טורנדו קאש. לאחר מכן, הכספים הועברו בהצלחה לארנק הקריפטו של השחקן הרע.
המומחים חשפו שהשוד האחרון היה מוצלח עקב חולשה במחולל כתובות יהירות, שהתגלה לראשונה ב-GitHub בינואר 2022. הפגיעויות התפרסמו בספטמבר כאשר אגרגטור החליפין המבוזר, 1inch גילה בעיות אבטחה בסיסיות עם הכלי גסויות. .
עבור חסרי התחלה, כלי השפה הפה הוא מחולל כתובות של ארנק יהירות, כפי שכבר הוזכר. בעוד שרוב כתובות הארנק של Ethereum נוצרות באקראי, כתובות יוקרה אלו נוצרות עם מונח ספציפי, כמו שם של מישהו, איפשהו בתוך הכתובת.
לפי 1 אינץ, הרבה כתובות יוקרה שנוצרו על ידי הכלי גסויות נמצאות בסיכון לניצול כזה שיצריך התקפת כוח גס. בעוד שביצוע מתקפה זו ידרוש כמות עצומה של כוח מחשוב, האקרים עדיין ימצאו את ביצוע התקפות אלו כתרגול מתגמל אם כמות גדולה של קריפטו מצויה בארנק.
שוד קריפטו ו-DeFi ממשיכים
פרצות אבטחה ופריצות הפכו לרווחה במגזר הקריפטו, עם DeFi פרוטוקולים שספגו את המכה הגדולה ביותר עד כה. לפני שבוע האקרים גנבו 160 מיליון דולר מיצרנית שוק הקריפטו אילם חורף. מאוחר יותר התברר שהפריצה התאפשרה בגלל שאחת מהכתובות של Wintermute בעלת מאפיינים של כתובת יהירות, שיכולה להיות שורש הפגיעות.
לכאורה, נראה שהבעיה מחמירה עוד יותר. לפי לדווחs, יותר מ-1.9 מיליארד דולר בקריפטו נגנבו על ידי פריצות של פושעי סייבר נכון ליולי 2022, שזה יותר משמעותית מ-1.2 מיליארד דולר שנגנבו באותו מסגרת זמן ב-2021.
Ethereum Devs מציפים את הצעת "בטל כפתור".
התדירות הגוברת של פריצות קריפטו בשנת 2022 הובילה קבוצת חוקרים לגבש הצעה חדשה לשני תקני אסימון Ethereum חדשים: ERC20R ו-ERC721R. תקני האסימון החדשים המוצעים הם הרחבות של ERC20 ו-ERC721 הקיימים ויכללו כעת את היכולת לבטל עסקאות זדוניות.
הסטנדרטים האסימונים המוצעים ישלבו חוזה סמלי וחוזה ממשל כאשר האחרון נשלט על ידי מערכת משפט מבוזרת. על פי ההצעה, משתמשים שנפלו קורבן לפריצה יכולים להגיש בקשה להקפאה לחוזה הממשל החכם עם ראיות תומכות.
בקשת ההקפאה תועבר לאחר מכן לפאנל של שופטים מבוזרים, אשר יצביעו כדי להחליט אם יש ראיות משמעותיות להקפאת הכספים או אחרת.
אם רוב השופטים יצביעו בעד הקפאה, ייפתח משפט. במהלך המשפט, שני הצדדים (הקורבן וההאקר) יכולים להגיש את ראיותיהם לשופטים המבוזרים, שיצביעו שוב על התוצאה.
למרות שלרעיון יש פוטנציאל להפחית את הסיכון לפרצות אבטחה, רבים מתחום הקריפטו מתחו ביקורת על ההצעה, ואמרו שיוזמות כאלה נוגדות את העקרונות המכוננים של טכנולוגיית הבלוקצ'יין. כמה מבקרים גם ציינו שהוספת תכונת הפיכות לחוזי אסימונים של ERC20 עלולה להפוך את זה למאתגר לשלב אותם ביישומים מבוזרים.
מקור: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/