Hack dan eksploitasi terus melanda kewangan terdesentralisasi (DeFi) sektor sebagai alamat dompet solek lain menyertai senarai mangsa DeFi, yang, secara kolektif, telah kehilangan lebih daripada $ 1.6 bilion pada 2022.
Dalam amaran yang diterbitkan oleh firma keselamatan blockchain PeckShield, seorang penggodam telah dikesan selepas mencuri 732 Ether (ETH), sekitar $950,000, daripada alamat yang dibuat di penjana alamat dompet solek Ethereum yang dipanggil Profanity. Selepas kehabisan dompet, pengeksploitasi menghantar kripto kepada yang baru-baru ini dibenarkan pengadun kripto Tornado Cash.
#PeckShieldAlert Nampaknya kripto bernilai $950k telah dicuri oleh 0x9731F daripada "alamat sia-sia" Ethereum yang dijana dengan alat yang dipanggil Profanity. Pengeksploitasi telah memindahkan ~732 $ ETH ke dalam Mixer pic.twitter.com/QOZfnE49H4
— PeckShieldAlert (@PeckShieldAlert) September 26, 2022
Alamat sia-sia ialah alamat dompet crypto tersuai yang dijana untuk memasukkan perkataan atau aksara tertentu yang dipilih oleh pemiliknya. Walau bagaimanapun, seperti yang ditunjukkan oleh eksploitasi baru-baru ini, keselamatan alamat kesombongan masih dipersoalkan.
Awal bulan September, agregator pertukaran terdesentralisasi (DEX). Rangkaian 1inci memberi amaran kepada ahli komuniti bahawa alamat mereka tidak selamat jika mereka kami hasilkan menggunakan Profanity. DEX memanggil pemegang kripto dengan alamat sia-sia memindahkan aset mereka dengan segera. Menurut 1inci, penjana alamat solek menggunakan vektor 32-bit rawak untuk menyemai kunci peribadi 256-bit, yang bermaksud ia tidak mempunyai keselamatan.
Berikutan amaran pengagregat DEX, ZachXBT, penyiasat blockchain, mengumumkan bahawa eksploitasi kelemahan dalam Profanity telah membenarkan beberapa penggodam melarikan diri dengan aset digital bernilai $3.3 juta.
Pada 20 September, pembuat pasaran crypto yang berpangkalan di United Kingdom mengalami eksploitasi itu membawa kepada kerugian $160 juta. Menurut penyelidik Ajay Dhingra, eksploitasi itu mungkin disebabkan oleh dompet panas firma itu dikompromi dan memanipulasi pepijat dalam kontrak pintar. Evgeny Gaevoy, pengasas dan Ketua Pegawai Eksekutif firma itu, menyeru penyerang untuk berhubung kerana mereka terbuka untuk menganggap eksploitasi itu sebagai penggodaman topi putih.
Sumber: https://cointelegraph.com/news/almost-1m-in-crypto-stolen-from-vanity-address-exploit