1 inci: Kerentanan Parah di Ethereum Vanity Address Tool Berisiko Jutaan Dolar
Secara singkat
- 1inch mengklaim telah menemukan kerentanan parah pada alat senonoh.
- Dikatakan peretas diam-diam menghabiskan jutaan dolar dari alamat palsu berbasis kata-kata kotor.
- Pengembang kata-kata kotor mengatakan mereka "ditinggalkan" proyek beberapa tahun yang lalu karena "masalah keamanan mendasar."
Agregator pertukaran terdesentralisasi1 inci diklaim pada 15 Agustus telah menemukan kerentanan parah diEthereum alat penghasil alamat batil Kata-kata kotor. Ini berpotensi membahayakan jutaan dolar uang pengguna.
Pendiri dan CEO 1inch Anton Bukov memperingatkan pengguna ethereum di amenciak bahwa “dana bukan Safu,” istilah crypto yang digunakan untuk menyatakan bahwa dana pengguna berisiko hilang setelah ameretas atau mengeksploitasi .
“Transfer semua aset Anda ke yang laindompet sesegera mungkin, ”kata 1inch Network kemudian dalam akeamananlaporan . “Jika Anda menggunakan kata-kata kotor untuk mendapatkan alamat kontrak pintar batil, pastikan untuk mengubah pemilik kontrak pintar itu.”
Ratusan juta dolar terancam
Kata-kata kotor adalah alat yang memungkinkan pengguna Ethereum untuk membuat "alamat batil", sejenis dompet crypto khusus yang berisi nama atau nomor yang dapat dikenali di dalamnya. Alat populer diluncurkan sekitar tahun 2017.
Dalam laporannya, 1inch menjelaskan bahwa kunci pribadi ke alamat yang dihasilkan pada kata-kata kotor dapat dihitung dengan menggunakan serangan brute force. Itu mengklaimkerentanan mungkin telah memungkinkan peretas untuk "diam-diam" menyedot jutaan dolar dari dompet pengguna Kata-kata kotor selama bertahun-tahun.
“Kontributor 1 inci masih mencoba menentukan semua alamat batil yang diretas,” kata pakaian itu, menambahkan:
“Ini bukan tugas yang sederhana, tetapi pada titik ini sepertinya puluhan juta dolar dalam cryptocurrency dapat dicuri, jika tidak ratusan juta. Satu hal yang baik adalah bahwa bukti peretasan tersedia secara on-chain selamanya.”
Pengembang senonoh: jangan gunakan alat ini!
Pengembang anonim yang tidak senonoh, yang menggunakan moniker 'johguse' di Github,dikatakan bahwa mereka "meninggalkan" proyek beberapa tahun yang lalu setelah mengetahui tentang "masalah keamanan mendasar dalam pembuatan kunci privat".
“Saya sangat menyarankan untuk tidak menggunakan alat ini dalam kondisi saat ini. Kode tidak akan menerima pembaruan apa pun dan saya membiarkannya dalam keadaan tidak dapat dikompilasi. Gunakan sesuatu yang lain!” pengembang menambahkan.
Ethereum menggunakan kombinasi kunci publik dan pribadi untuk menghasilkan alamat dompet – daftar panjang karakter alfanumerik acak. Mereka yang memiliki kunci pribadi ke suatu alamat dapat mengotorisasi transfer dana dari satu akun ke akun lain, membuktikan bahwa mereka memiliki uang tersebut.
Namun, alamat batil dihasilkan agak berbeda. 1inch merinci bahwa Kata-kata kotor, alat yang populer dan "sangat efisien", memungkinkan pengguna membuat jutaan alamat per detik dan mencari rangkaian huruf dan angka yang diminta oleh pengguna untuk alamat dompet yang dipesan lebih dahulu.
1inch mengatakan metode yang digunakan oleh Profanity untuk menghasilkan alamat tidak mudah dan bahwa kunci publik dari alamat batil dapat dihitung dengan serangan brute force.
“Beberapa hari yang lalu, kontributor 1 inci mendapatkan kode proof-of-concept yang memungkinkan mereka memulihkan kunci pribadi dari alamat batil mana pun yang dihasilkan dengan Kata-kata kotor pada waktu yang hampir bersamaan dengan yang diperlukan untuk menghasilkan alamat batil itu,” jelasnya.
Penafian
Semua informasi yang terdapat di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.