Advertisement
Công ty tổng hợp Sàn giao dịch phi tập trung (DEX) Network 1inch đã đưa ra cảnh báo cho các nhà đầu tư tiền điện tử sau khi xác định lỗ hổng của các địa chỉ vanity. Mặc dù có cảnh báo, nhưng các tin tặc vẫn có thể đánh cắp số tiền điện tử trị giá 3,3 triệu đô la.
Vanity address (địa chỉ cá nhân hóa) là một loại ví tùy chỉnh có chứa tên hoặc chữ số đặc biệt để nhận dạng. Trong lĩnh vực tiền điện tử, chúng được sử dụng để các nhà đầu tư thể hiện, tương tự như việc các tài xế ô tô trả cho các biển số đắt tiền. Những địa chỉ này có thể được tạo bằng cách sử dụng một số công cụ nhất định, một trong số đó là Profanity.
Vào thứ Năm, 1inch đã tiết lộ sự thiếu an toàn trong việc sử dụng Profanity, vì nó sử dụng một vectơ 32 bit ngẫu nhiên để tạo ra các khóa cá nhân 256 bit. Các cuộc điều tra sâu hơn đã chỉ ra sự không rõ ràng trong việc tạo ra các địa chỉ vanity, cho thấy rằng ví Profanity đã bị tấn công bí mật.
🚨 RUN, YOU FOOLS 🚨
⚠️ Spoiler: Your money is NOT SAFU if your wallet address was generated with the Profanity tool. Transfer all of your assets to a different wallet ASAP!
➡️ Read more: https://t.co/oczK6tlEqG#Ethereum #crypto #vulnerability #1inch
— 1inch Network (@1inch) September 15, 2022
Một cuộc điều tra tiếp theo của nhà điều tra blockchain ZachXBT vào thứ Sáu tuần trước (16/09) cho thấy việc khai thác thành công lỗ hổng đã cho phép tin tặc rút 3,3 triệu đô la tiền điện tử. Số tiền trên được chuyển từ địa chỉ của nạn nhân sang địa chỉ Ethereum của tin tặc. Sự việc này khiến các chuyên gia phân tích nghi ngờ rằng các nhân tố độc hại đã viết trước về lỗ hổng bảo mật của mạng lưới.
Appears $3.3m worth of crypto has been exploited by 0x6ae from this vulnerability.
Interestingly the Indexed Finance Exploiter was the first address drained by 0x6ae.
Attackers address:
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq— ZachXBT (@zachxbt) September 17, 2022
Sau khi cảnh báo cho họ về tin tặc đã truy cập vào ví của người dùng, nhiều người xác nhận rằng tiền của họ vẫn an toàn:
6 giờ sau cuộc tấn công, những kẻ tấn công đã không đánh cắp tài sản của tôi. 55K đã rơi vào nguy hiểm.
Tuy nhiên, tin tặc có xu hướng tấn công các ví lớn hơn trước khi chuyển sang các ví có giá trị thấp hơn. Người dùng sở hữu địa chỉ ví được tạo bằng Profanity đã được 1inch khuyên “Chuyển tất cả tài sản của bạn sang một ví khác càng sớm càng tốt!”.
Trước đó, 1inch đã xem xét lại các Private Key của các địa chỉ vanity được tạo bằng Profanity bằng chip GPU và cảnh báo một lỗ hổng bảo mật được các tin tặc khai thác để đánh cắp hàng triệu đô la.
Trong khi một số tin tặc sử dụng kiểu tấn công truyền thống là rút tiền của người dùng sau khi truy cập trái phép vào ví tiền điện tử, những kẻ khác lại đánh lừa các nhà đầu tư chia sẻ khóa riêng của họ.
Một trong những trò gian lận kiểu mới gần đây liên quan đến việc hack kênh YouTube để phát các video bịa đặt về Elon Musk thảo luận về tiền điện tử. Vào ngày 3 tháng 9, kênh YouTube của chính phủ Hàn Quốc đã bị tấn công ngay lập tức và được đổi tên để chia sẻ chương trình phát sóng trực tiếp các video liên quan đến tiền điện tử.
ID và mật khẩu bị kênh YouTube bị đánh cắp được xác định là nguyên nhân gốc rễ của vụ tấn công này.
