A 950,000. szeptember 26-i jelentések szerint alig egy héttel a Wintermute feltörése után 2022 XNUMX dollárnyi Ethert (ETH) loptak el egy titkosítási pénztárcából egy „hiú címre” való visszaélés révén.
Trágárság-generált hiúságos megszólítások támadás alatt
Szeptember 26-án a Peckshield, egy blokklánc-biztonsági cég Twitteren hogy egy hacker ellopott 950,000 XNUMX dollár értékű Ethert (ETH) kriptovaluta pénztárcából. A feltörés sok hasonlóságot mutatott a Wintermute múlt heti 160 millió dolláros incidensével.
PeckShield azt mondja, hogy a hacker szeptember 732-én 25 ETH-t lopott el egy kriptovaluta pénztárcából, és a szankcionált kriptokeverési szolgáltatás segítségével más kriptoalapokkal keverte össze. Tornado Cash. Az összeget ezután sikeresen átutalták a rossz színész kriptopénztárcájába.
A szakértők felfedték, hogy a legutóbbi rablás a hiúsági címgenerátor gyengesége miatt volt sikeres, amelyet először 2022 januárjában fedeztek fel a GitHubon. A sérülékenységek szeptemberben kerültek nyilvánosságra, amikor a decentralizált, 1 hüvelykes adatcsere-aggregátor alapvető biztonsági problémákat fedezett fel a Profanity eszközzel. .
Az avatatlanok számára a Profanity eszköz egy hiúságos pénztárca címgenerátor, amint már említettük. Míg az Ethereum pénztárcacímek többsége véletlenszerűen jön létre, ezek a hiúsági címek egy meghatározott kifejezéssel, például valaki nevével jönnek létre valahol a címen belül.
Szerint 1 hüvelyk, Sok, a Profanity eszköz által generált hiúságos címet fenyegeti ezek a visszaélések, amelyek brutális erőszakos támadást igényelnek. Noha ennek a támadásnak a végrehajtása hatalmas számítási teljesítményt igényelne, a hackerek mégis kifizetődő gyakorlatnak találnák ezeket a támadásokat, ha nagy mennyiségű kriptográfia van a pénztárcában.
A kriptográfiai és a DeFi-rablások folytatódnak
A kriptográfiai szektorban elterjedtek a biztonsági incidensek és feltörések Defi protokollok vitték el az eddigi legnagyobb sikert. Egy héttel ezelőtt hackerek 160 millió dollárt loptak el a kriptopiaci döntéshozótól téli néma. Később kiderült, hogy a feltörést az tette lehetővé, hogy Wintermute egyik címe hiúsági cím tulajdonságaival rendelkezik, ami a sebezhetőség gyökere lehet.
Úgy tűnik, a probléma még súlyosabbá válik. Alapján jelentésts, 1.9 júliusáig több mint 2022 milliárd dollárnyi kriptot loptak el kiberbűnözők, ami jóval több, mint a 1.2-ben ugyanebben az időszakban ellopott 2021 milliárd dollár.
Az Ethereum Devs lebegteti a „Visszavonás gomb” javaslatot
A kriptográfiai feltörések 2022-ben tapasztalható növekvő gyakorisága arra késztette a kutatók egy csoportját, hogy új javaslatot fogalmazzanak meg két új Ethereum token szabványra: ERC20R és ERC721R. A javasolt új token szabványok a meglévő ERC20 és ERC721 kiterjesztései, és mostantól magukban foglalják a rosszindulatú tranzakciók visszafordításának lehetőségét.
A javasolt jelképes szabványok egy jelképes szerződést és egy irányítási szerződést kombinálnának, ahol az utóbbit egy decentralizált igazságszolgáltatási rendszer irányítja. A javaslat szerint a feltörés áldozatává vált felhasználók az irányítási intelligens szerződés lefagyasztására irányuló kérelmet nyújthatnak be alátámasztó bizonyítékokkal.
A befagyasztási kérelmet ezután egy decentralizált bírákból álló testület elé terjesztik, amely ezután szavazással dönt arról, hogy van-e lényeges bizonyíték a pénzeszközök befagyasztására vagy másra.
Ha a bírák többsége a felfüggesztés mellett szavaz, tárgyalást indítanak. A tárgyalás során mindkét fél (az áldozat és a hacker) benyújthatja bizonyítékait a decentralizált bírákhoz, akik ismét szavaznak az eredményről.
Bár az ötlet képes csökkenteni a biztonsági rések kockázatát, a kriptográfiai területen sokan kritizálták a javaslatot, mondván, hogy az ilyen kezdeményezések ellentétesek a blokklánc technológia alapelveivel. Egyes kritikusok arra is felhívták a figyelmet, hogy az ERC20 jogkivonat-szerződésekhez való visszafordíthatósági funkció hozzáadása kihívást jelenthet a decentralizált alkalmazásokba való integrálásukban.
Forrás: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/