Decentraliseret børsaggregator 1inch Network udsendte en advarsel til kryptoinvestorer efter at have identificeret en sårbarhed i Profanity, et Ethereum (ETH) værktøj til generering af forfængelighedsadresse. På trods af den proaktive advarsel var hackere tilsyneladende i stand til at klare sig med 3.3 millioner dollars i kryptovalutaer.
Den 15. september afslørede 1Inch manglen på sikkerhed ved at bruge bandeord, da det brugte en tilfældig 32-bit vektor til at se 256-bit private nøgler. Yderligere undersøgelser pegede på tvetydigheden i oprettelsen af forfængelighedsadresser, hvilket tyder på, at profanity-punge i hemmelighed blev hacket. Advarslen kom i form af et tweet, som vist nedenfor.
LØB, I FÅR
⚠️ Spoiler: Dine penge er IKKE SAFU, hvis din tegnebogsadresse blev genereret med bandeordsværktøjet. Overfør alle dine aktiver til en anden tegnebog ASAP!
➡️ Læs mere: https://t.co/oczK6tlEqG#Ethereum #crypto # sårbarhed # 1 tommer
- 1 tommer netværk (@1 tommer) September 15, 2022
En efterfølgende undersøgelse foretaget af blockchain-efterforskeren ZachXBT viste, at en vellykket udnyttelse af sårbarheden tillod hackere at dræne 3.3 millioner dollars i krypto.
Det ser ud til, at 3.3x0ae har udnyttet kryptoværdi for $6 mio. fra denne sårbarhed.
Interessant nok var Indexed Finance Exploiter den første adresse, der blev drænet af 0x6ae.
Angriberens adresse:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq— ZachXBT (@zachxbt) September 17, 2022
Desuden hjalp ZachXBT en bruger med at spare over 1.2 millioner dollars i krypto og nonfungible tokens (NFT'er) efter at have advaret dem om hackeren, der havde adgang til brugerens pung. Efter afsløringen bekræftede adskillige brugere, at deres penge var sikre, som én erklærede:
"Wtf 6 timer efter angrebet var mine adresser stadig sårbare, men angriberen drænede mig ikke? havde 55k i fare lol"
Hackere har dog en tendens til at angribe de større tegnebøger, før de går over til tegnebøger med mindre værdi. Brugere, der ejer tegnebogsadresser, der er genereret med bandeordsværktøjet, er blevet rådet til at "Overføre alle dine aktiver til en anden tegnebog ASAP!" med 1 tomme.
Relateret: Retshåndhævere inddriver $30 millioner fra Ronin Bridge-hack ved hjælp af Chainalysis
Mens nogle hackere foretrækker den traditionelle metode til at dræne brugernes midler efter ulovlig adgang til kryptopungen, prøver andre nye måder at narre investorer til at dele deres private nøgler.
Et af de seneste innovative svindelnumre involverede hacking af en YouTube-kanal til afspilning af fremstillede videoer af Elon Musk diskuterer kryptovalutaer. Den 3. september blev den sydkoreanske regerings YouTube-kanal et øjeblik hacket og omdøbt for at dele live-udsendelser af krypto-relaterede videoer.
Det kompromitterede id og adgangskode til YouTube-kanalen blev identificeret som årsagen til hacket.
Kilde: https://cointelegraph.com/news/profanity-tool-vulnerability-drains-3-3m-despite-1inch-warning