Agregador de câmbio descentralizado 1inch afirmou em 15 de setembro ter descoberto uma vulnerabilidade grave em Ethereum Ferramenta de geração de endereço de vaidade Profanity. Isso tem o potencial de colocar milhões de dólares em dinheiro do usuário em risco.
O fundador e CEO da 1inch, Anton Bukov, alertou os usuários do Ethereum em um Tweet que “fundos não são Safu”, jargão criptográfico usado para expressar que os fundos do usuário correm o risco de perda após um hackear ou explorar.
“Transfira todos os seus ativos para um wallet o mais rápido possível”, disse a 1inch Network mais tarde em um segurança Denunciar. “Se você usou o Profanity para obter um endereço de contrato inteligente vaidoso, certifique-se de alterar os proprietários desse contrato inteligente.”
Centenas de milhões de dólares em risco
Profanity é uma ferramenta que permite que os usuários do Ethereum criem “endereços de vaidade”, um tipo de carteira de criptografia personalizada que contém nomes ou números reconhecíveis dentro delas. A ferramenta popular foi lançada em algum momento de 2017.
Em seu relatório, a 1inch explicou que as chaves privadas para endereços gerados no Profanity poderiam ser calculadas usando ataques de força bruta. Alegou a vulnerabilidade pode ter permitido que hackers “secretamente” desviassem milhões de dólares das carteiras dos usuários do Profanity por anos.
“Os contribuidores de 1 polegada ainda estão tentando determinar todos os endereços de vaidade que foram hackeados”, disse a empresa, acrescentando:
“Não é uma tarefa simples, mas neste momento parece que dezenas de milhões de dólares em criptomoeda podem ser roubados, se não centenas de milhões. Uma coisa boa é que as provas de hacks estão disponíveis na cadeia para sempre.”
Desenvolvedor de palavrões: não use esta ferramenta!
Desenvolvedor anônimo de profanidade, que atende pelo apelido 'johguse' no Github, dito que eles “abandonaram” o projeto há alguns anos depois de descobrirem “questões fundamentais de segurança na geração de chaves privadas”.
“Aconselho vivamente a não utilizar esta ferramenta no seu estado atual. O código não receberá nenhuma atualização e eu o deixei em um estado não compilável. Use outra coisa!” acrescentou o desenvolvedor.
O Ethereum usa uma combinação de chaves públicas e privadas para gerar endereços de carteira – uma longa lista de caracteres alfanuméricos aleatórios. Aqueles que possuem a chave privada de um endereço podem autorizar a transferência de fundos de uma conta para outra, comprovando que são os proprietários do dinheiro.
Os endereços personalizados, no entanto, são gerados de forma um pouco diferente. A 1inch detalhou que o Profanity, uma ferramenta popular e “altamente eficiente”, permitiu que os usuários criassem milhões de endereços por segundo e pesquisassem as sequências de letras e números solicitadas pelos usuários para um endereço de carteira personalizado.
1inch disse que o método usado pela Profanity para gerar os endereços não era infalível e que as chaves públicas de endereços de vaidade podem ser calculadas com ataques de força bruta.
“Alguns dias atrás, os contribuidores de 1 polegada conseguiram um código de prova de conceito que lhes permite recuperar chaves privadas de qualquer endereço personalizado gerado com Profanity quase ao mesmo tempo que foi necessário para gerar esse endereço personalizado”, explicou.
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/