Casi un millón de dólares robados en un exploit de «Vanity Address» de Ethereum

El ataque aprovechó la misma falla que el robo anterior de 160 millones de dólares.
Con una dirección personalizada, uno puede elegir su propia cadena única de letras y números.
Se vio comprometida una “dirección personalizada” de Ethereum valorada en unos 950.000 dólares; esta dirección se creó utilizando un programa llamado Profanity. El ataque se basó en la misma falla que el robo anterior de 160 millones de dólares al creador de mercado Wintermute.
Cuando se trata de direcciones criptográficas, las “direcciones vanidosas” son aquellas que se adaptan a las especificaciones exactas del creador y generalmente simbolizan la marca o el nombre del autor.
Con una dirección personalizada, uno puede elegir su propia cadena de letras y números para usarla como dirección criptográfica, en lugar de que una computadora le asigne una. Los usuarios de GitHub han notado que este tipo de dirección es particularmente susceptible a ataques de fuerza bruta debido a esto.
Patrones de explotación similares
Según los datos de PeckShield, el hacker tomó 732 Ethereum el 25 de septiembre y envió el dinero al mezclador de criptomonedas ahora prohibido Tornado Cash. El agregador de intercambio descentralizado (DEX) 1Inch Network compartió una publicación de blog explicando cómo es probable que haya funcionado la vulnerabilidad e instó a los usuarios a "transferir todos sus activos a una nueva billetera lo antes posible" después de que los usuarios de GitHub descubrieran datos sobre el ataque.
Los creadores de Profanity han tomado medidas a raíz de los ataques para detener su uso. El repositorio de Profanity ha sido archivado después de que sus creadores lo abandonaran en condiciones incompilables.
El director ejecutivo de Wintermute, Evgeny Gaevoy, declaró recientemente en Twitter que el ataque masivo a su empresa "probablemente estuvo relacionado con el exploit de tipo Profanity de nuestra billetera comercial DeFi".
Para sus servicios de creación de mercado algorítmico, la organización de Gaevoy empleó “Profanity y una herramienta interna para generar direcciones con muchos ceros al frente”, pero insistió en que “la razón detrás de esto era la optimización del gas, no la vanidad”.
Recomendado para ti:
Direcciones vanidosas de Ethereum fueron explotadas por 3 millones de dólares