Hampir seminggu selepas penggodaman Wintermute, $950,000 dalam Ether (ETH) telah dicuri daripada dompet crypto melalui eksploitasi "alamat sia-sia", menurut laporan pada 26 September 2022.
Alamat Kesombongan Yang Dijanakan Kata-kata Sesat Di Bawah Serangan
Pada 26 September, Peckshield, sebuah firma keselamatan blockchain tweeted bahawa seorang penggodam telah mencuri Eter bernilai $950,000 (ETH) daripada dompet mata wang kripto. Hack itu mempunyai banyak persamaan dengan pelanggaran $160 juta pada Wintermute minggu lepas.
PeckShield berkata penggodam itu mencuri 732 ETH daripada dompet cryptocurrency pada 25 September dan mencampurkannya dengan dana crypto lain menggunakan perkhidmatan pencampuran kripto yang dibenarkan, Wang Tunai Tornado. Dana itu kemudiannya berjaya dipindahkan ke dompet crypto pelakon jahat itu.
Pakar telah mendedahkan bahawa rompakan terbaharu berjaya disebabkan oleh kelemahan dalam penjana alamat solek, yang pertama kali ditemui di GitHub pada Januari 2022. Kerentanan itu dihebahkan pada September apabila pengagregat pertukaran terdesentralisasi, 1 inci menemui isu keselamatan asas dengan alat Profanity .
Bagi yang belum tahu, alat Profanity ialah penjana alamat dompet solek, seperti yang telah disebutkan. Walaupun majoriti alamat dompet Ethereum dijana secara rawak, alamat solek ini dibuat dengan istilah tertentu, seperti nama seseorang, di suatu tempat dalam alamat tersebut.
Menurut 1 inci, Banyak alamat sia-sia yang dijana oleh alat Profanity berisiko terhadap eksploitasi ini yang memerlukan serangan kekerasan. Walaupun melaksanakan serangan ini memerlukan sejumlah besar kuasa pengkomputeran, penggodam masih akan mendapati melakukan serangan ini sebagai latihan yang bermanfaat jika sejumlah besar kripto terkandung dalam dompet.
Heists Crypto dan DeFi Teruskan
Pelanggaran keselamatan dan penggodaman telah menjadi berleluasa dalam sektor kripto, dengan DeFi protokol mengambil pukulan terbesar setakat ini. Seminggu yang lalu, penggodam mencuri $160 juta daripada pembuat pasaran crypto wintermute. Ia kemudiannya mendedahkan bahawa penggodaman itu dimungkinkan kerana salah satu alamat Wintermute mempunyai sifat alamat sia-sia, yang boleh menjadi punca kelemahan.
Nampaknya, masalah itu kelihatan semakin teruk. mengikut melaporkans, Lebih $1.9 bilion dalam kripto telah dicuri oleh penggodaman penjenayah siber pada Julai 2022, yang jauh lebih tinggi daripada $1.2 bilion yang dicuri pada jangka masa yang sama pada 2021.
Ethereum Devs Mengapungkan Cadangan "Buang Asal".
Kekerapan penggodaman kripto yang semakin meningkat pada tahun 2022 telah menyebabkan sekumpulan penyelidik merumuskan cadangan baharu untuk dua piawaian token Ethereum baharu: ERC20R dan ERC721R. Piawaian token baharu yang dicadangkan ialah sambungan ERC20 dan ERC721 sedia ada dan kini akan merangkumi keupayaan untuk membalikkan urus niaga berniat jahat.
Piawaian token yang dicadangkan akan menggabungkan kontrak token dan kontrak tadbir urus di mana yang kedua dikawal oleh sistem kehakiman yang tidak berpusat. Menurut cadangan itu, Pengguna yang menjadi mangsa penggodaman boleh membuat permintaan pembekuan kepada kontrak pintar tadbir urus dengan bukti yang menyokong.
Permintaan pembekuan kemudiannya akan dikemukakan kepada panel hakim yang tidak berpusat, yang kemudiannya akan mengundi untuk memutuskan sama ada terdapat bukti kukuh untuk membekukan dana atau sebaliknya.
Jika majoriti hakim mengundi menyokong pembekuan maka perbicaraan akan dimulakan. Semasa perbicaraan, kedua-dua pihak (mangsa dan penggodam) boleh menyerahkan bukti mereka kepada hakim yang tidak berpusat, yang akan mengundi semula keputusan itu.
Walaupun idea itu berpotensi untuk mengurangkan risiko pelanggaran keselamatan, ramai dalam ruang crypto telah mengkritik cadangan itu, dengan mengatakan bahawa inisiatif sedemikian bertentangan dengan prinsip pengasas teknologi blockchain. Sesetengah pengkritik juga menegaskan bahawa menambah ciri kebolehbalikan pada kontrak token ERC20 boleh menjadikannya mencabar untuk mengintegrasikannya ke dalam aplikasi terdesentralisasi.
Sumber: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/