Agregator pertukaran terdesentralisasi 1inch diklaim pada 15 September telah menemukan kerentanan parah di Ethereum alat penghasil alamat kesombongan Kata-kata kotor. Ini berpotensi membahayakan jutaan dolar uang pengguna.
Pendiri dan CEO 1inch Anton Bukov memperingatkan pengguna ethereum di a menciak bahwa “dana bukan Safu”, istilah kripto yang digunakan untuk menyatakan bahwa dana pengguna berisiko kehilangan setelah a meretas atau mengeksploitasi.
“Pindahkan semua aset Anda ke yang berbeda dompet sesegera mungkin, ”kata 1inch Network kemudian dalam a keamanan melaporkan. “Jika Anda menggunakan Profanity untuk mendapatkan alamat kontrak cerdas kesombongan, pastikan untuk mengubah pemilik kontrak cerdas itu.”
Risiko ratusan juta dolar
Kata-kata kotor adalah alat yang memungkinkan pengguna Ethereum untuk membuat “alamat rias”, sejenis dompet kripto khusus yang berisi nama atau nomor yang dapat dikenali di dalamnya. Alat populer diluncurkan sekitar tahun 2017.
Dalam laporannya, 1inch menjelaskan bahwa kunci pribadi ke alamat yang dihasilkan pada Profanity dapat dihitung menggunakan serangan brute force. Ia mengklaim kerentanan mungkin telah memungkinkan peretas untuk “secara diam-diam” menyedot jutaan dolar dari dompet pengguna Profanity selama bertahun-tahun.
“Kontributor 1 inci masih mencoba menentukan semua alamat rias yang diretas,” kata pakaian itu, menambahkan:
“Ini bukan tugas yang sederhana, tetapi pada titik ini sepertinya puluhan juta dolar dalam cryptocurrency dapat dicuri, jika tidak ratusan juta. Satu hal yang baik adalah bahwa bukti peretasan tersedia secara on-chain selamanya.”
Pengembang kata-kata kotor: jangan gunakan alat ini!
Pengembang anonim yang tidak senonoh, yang menggunakan moniker 'johguse' di Github, tersebut bahwa mereka "meninggalkan" proyek beberapa tahun yang lalu setelah mengetahui tentang "masalah keamanan mendasar dalam pembuatan kunci pribadi."
“Saya sangat menyarankan untuk tidak menggunakan alat ini dalam kondisi saat ini. Kode tidak akan menerima pembaruan apa pun dan saya membiarkannya dalam keadaan tidak dapat dikompilasi. Gunakan yang lain!” pengembang menambahkan.
Ethereum menggunakan kombinasi kunci publik dan pribadi untuk menghasilkan alamat dompet – daftar panjang karakter alfanumerik acak. Mereka yang memiliki kunci pribadi ke suatu alamat dapat mengotorisasi transfer dana dari satu akun ke akun lainnya, membuktikan bahwa mereka memiliki uang tersebut.
Alamat Vanity, bagaimanapun, dihasilkan agak berbeda. 1inch merinci bahwa Profanity, alat yang populer dan "sangat efisien", memungkinkan pengguna untuk membuat jutaan alamat per detik dan mencari rangkaian huruf dan angka yang diminta oleh pengguna untuk alamat dompet yang dipesan lebih dahulu.
1inch mengatakan metode yang digunakan oleh Profanity untuk menghasilkan alamat tidak mudah dan bahwa kunci publik dari alamat vanity dapat dihitung dengan serangan brute force.
“Beberapa hari yang lalu, kontributor 1 inci mencapai kode proof-of-concept yang memungkinkan mereka untuk memulihkan kunci pribadi dari alamat cantik apa pun yang dihasilkan dengan Profanity pada waktu yang hampir bersamaan yang diperlukan untuk menghasilkan alamat cantik itu,” jelasnya.
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/