Hampir satu minggu setelah peretasan Wintermute, $ 950,000 dalam Ether (ETH) telah dicuri dari dompet crypto melalui eksploitasi “alamat batil”, menurut laporan pada 26 September 2022.
Alamat Kesombongan yang Dihasilkan dengan Kata-kata Tidak Senonoh Di Bawah Serangan
Pada tanggal 26 September, Peckshield, sebuah perusahaan keamanan blockchain tweeted bahwa seorang peretas mencuri Eter senilai $950,000 (ETH) dari dompet cryptocurrency. Peretasan itu memiliki banyak kesamaan dengan pelanggaran $ 160 juta di Wintermute minggu lalu.
PeckPerisai mengatakan peretas mencuri 732 ETH dari dompet cryptocurrency pada 25 September dan mencampurnya dengan dana crypto lainnya menggunakan layanan pencampuran crypto yang disetujui, Uang Tornado. Dana tersebut kemudian berhasil ditransfer ke dompet crypto aktor jahat itu.
Para ahli telah mengungkapkan bahwa pencurian terbaru berhasil karena kelemahan dalam generator alamat kesombongan, yang pertama kali ditemukan di GitHub pada Januari 2022. Kerentanan dipublikasikan pada bulan September ketika agregator pertukaran terdesentralisasi, 1inch menemukan masalah keamanan mendasar dengan alat Profanity .
Untuk yang belum tahu, alat Profanity adalah generator alamat dompet rias, seperti yang telah disebutkan. Sementara sebagian besar alamat dompet Ethereum dibuat secara acak, alamat cantik ini dibuat dengan istilah tertentu, seperti nama seseorang, di suatu tempat di dalam alamat.
Menurut 1 inci, Banyak alamat batil yang dihasilkan oleh alat Profanity beresiko eksploitasi ini yang akan memerlukan serangan brute force. Sementara mengeksekusi serangan ini akan membutuhkan sejumlah besar daya komputasi, peretas masih akan menganggap melakukan serangan ini sebagai latihan yang bermanfaat jika sejumlah besar crypto terkandung dalam dompet.
Pencurian Crypto dan DeFi Berlanjut
Pelanggaran keamanan dan peretasan telah merajalela di sektor kripto, dengan Defi protokol mengambil hit terbesar sejauh ini. Seminggu yang lalu, peretas mencuri $ 160 juta dari pembuat pasar crypto bisu musim dingin. Belakangan terungkap bahwa peretasan itu dimungkinkan karena salah satu alamat Wintermute memiliki properti alamat batil, yang bisa menjadi akar kerentanan.
Tampaknya, masalahnya terlihat semakin buruk. Berdasarkan melaporkans, Lebih dari $1.9 miliar dalam crypto telah dicuri oleh peretasan penjahat dunia maya pada Juli 2022, yang secara signifikan lebih dari $1.2 miliar yang dicuri pada kerangka waktu yang sama pada tahun 2021.
Pengembang Ethereum Mengambang Proposal “Tombol Undo”
Meningkatnya frekuensi peretasan kripto pada tahun 2022 telah membuat sekelompok peneliti merumuskan proposal baru untuk dua standar token Ethereum baru: ERC20R dan ERC721R. Standar token baru yang diusulkan adalah ekstensi dari ERC20 dan ERC721 yang ada dan sekarang akan mencakup kemampuan untuk membalikkan transaksi berbahaya.
Standar token yang diusulkan akan menggabungkan kontrak token dan kontrak tata kelola di mana yang terakhir dikendalikan oleh sistem peradilan yang terdesentralisasi. Menurut proposal, Pengguna yang menjadi korban peretasan dapat mengajukan permintaan pembekuan ke kontrak pintar tata kelola dengan bukti yang mendukung.
Permintaan pembekuan kemudian akan ditenderkan ke panel hakim yang terdesentralisasi, yang kemudian akan memilih untuk memutuskan apakah ada bukti substansial untuk membekukan dana atau sebaliknya.
Jika mayoritas hakim memberikan suara mendukung pembekuan maka persidangan akan dimulai. Selama persidangan, kedua belah pihak (korban dan peretas) dapat menyerahkan bukti mereka kepada hakim yang terdesentralisasi, yang akan memilih hasilnya lagi.
Meskipun gagasan tersebut berpotensi untuk mengurangi risiko pelanggaran keamanan, banyak orang di ruang crypto telah mengkritik proposal tersebut, dengan mengatakan bahwa inisiatif semacam itu bertentangan dengan prinsip-prinsip dasar teknologi blockchain. Beberapa kritikus juga menunjukkan bahwa menambahkan fitur reversibilitas ke kontrak token ERC20 dapat menyulitkan untuk mengintegrasikannya ke dalam aplikasi yang terdesentralisasi.
Sumber: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/