Gần 1 triệu đô la bị đánh cắp trong lỗ hổng 'Vanity Address' của Ethereum

Vụ tấn công này sử dụng cùng một lỗ hổng như vụ trộm 160 triệu đô la trước đó.
Với địa chỉ tùy chỉnh, người ta có thể chọn chuỗi chữ cái và số riêng của mình.
Một "địa chỉ vanity" Ethereum có giá trị khoảng 950.000 đô la đã bị xâm phạm; địa chỉ này được tạo bằng một chương trình có tên là Profanity. Vụ tấn công sử dụng cùng một lỗ hổng như vụ trộm 160 triệu đô la trước đó trên nhà tạo lập thị trường Wintermute.
Khi nói đến địa chỉ tiền điện tử, “địa chỉ vanity” là địa chỉ được thiết kế riêng theo thông số kỹ thuật chính xác của người tạo, thường tượng trưng cho thương hiệu hoặc tên của tác giả.
Với một địa chỉ vanity, người ta có thể chọn chuỗi ký tự và số riêng của mình để sử dụng làm địa chỉ mã hóa, thay vì để máy tính chỉ định cho họ. Người dùng trên GitHub đã lưu ý rằng loại địa chỉ này đặc biệt dễ bị tấn công bằng brute force vì lý do này.
Các mẫu khai thác tương tự
Theo dữ liệu của PeckShield, tin tặc đã lấy 732 Ethereum vào ngày 25 tháng 9 và gửi tiền đến sàn giao dịch tiền điện tử Tornado Cash hiện đã bị cấm. Sàn giao dịch phi tập trung (DEX) tổng hợp 1Inch Network đã chia sẻ một bài đăng trên blog giải thích cách lỗ hổng có thể hoạt động và kêu gọi người dùng "chuyển tất cả tài sản của bạn sang ví mới càng sớm càng tốt" sau khi người dùng GitHub phát hiện ra dữ liệu về vụ tấn công.
Những người sáng tạo ra Profanity đã thực hiện các biện pháp sau vụ tấn công để ngăn chặn việc sử dụng nó thêm nữa. Kho lưu trữ Profanity đã được lưu trữ sau khi những người sáng tạo ra nó từ bỏ nó trong tình trạng không thể biên dịch được.
CEO của Wintermute, Evgeny Gaevoy, gần đây đã tuyên bố trên Twitter rằng cuộc tấn công lớn vào công ty của ông "có khả năng liên quan đến lỗ hổng Profanity trong ví giao dịch DeFi của chúng tôi".
Đối với các dịch vụ tạo lập thị trường theo thuật toán của mình, tổ chức của Gaevoy đã sử dụng "Lời nói tục tĩu và một công cụ nội bộ để tạo ra các địa chỉ có nhiều số 0 ở phía trước", nhưng ông nhấn mạnh rằng "lý do đằng sau việc này là tối ưu hóa gas, không phải là sự phù phiếm".
Đề xuất cho bạn:
Địa chỉ Vanity của Ethereum bị khai thác để kiếm 3 triệu đô la