Advertisement
Vào ngày 15 tháng 9, 1inch tuyên bố đã phát hiện ra một lỗ hổng nghiêm trọng trong công cụ tạo địa chỉ Ethereum vanity. Điều này có thể khiến hàng triệu đô la tiền của người dùng gặp rủi ro.
Người sáng lập và giám đốc điều hành 1inch, Anton Bukov đã cảnh báo người dùng Ethereum về nguy cơ bị khai thác và tấn công.
⚠️ Attention, Ethereans! Funds are not SAFU! Beware of using vanity addresses generated by the “profanity” tool! Moreover, check the ownership of your deployer wallets of vanity contracts. https://t.co/5D9obk2tP9
— Anton Bukov 🦇🔊 ⚖️ (@k06a) September 15, 2022
“Chuyển tất cả tài sản của bạn sang một ví khác càng sớm càng tốt,” 1inch Network sau đó cho biết trong một báo cáo bảo mật. “Nếu bạn đã sử dụng Profanity để lấy địa chỉ Hợp đồng thông minh vanity, hãy thay đổi chủ sở hữu của hợp đồng thông minh đó”.
Hàng trăm triệu đô la bị rủi ro
Profanity là một công cụ được ra mắt vào năm 2017, cho phép người dùng Ethereum tạo địa chỉ vanity, một loại ví tiền điện tử tùy chỉnh bao gồm các kí tự, tên gọi đặc trưng.
1inch giải thích rằng các Khóa riêng tư của các địa chỉ được tạo trên Profanity có thể được giả lập để truy hồi khóa cá nhân. Lỗ hổng bảo mật có thể cho phép tin tặc đánh cắp hàng triệu đô la từ ví của người dùng trong nhiều năm.
“Đội ngũ 1 inch vẫn đang cố gắng xác định tất cả các địa chỉ vanity đã bị tấn công. Đó không phải là một nhiệm vụ đơn giản, nhưng tại thời điểm này, có vẻ như hàng chục triệu đô la tiền điện tử có thể bị đánh cắp, nếu không muốn nói là hàng trăm triệu.”
Nhà phát triển cảnh báo không sử dụng công cụ Profanity
Nhà phát triển Profanity ẩn danh ‘johguse’ đã rời khỏi dự án vài năm trước sau khi phát hiện ra các vấn đề bảo mật cơ bản trong quá trình tạo khóa cá nhân.
“Tôi thực sự khuyên bạn không nên sử dụng công cụ này trong tình trạng hiện tại. Mã sẽ không nhận được bất kỳ bản cập nhật nào và tôi đã để nó ở trạng thái không thể thay đổi được. Hãy chuyển sang dùng công cụ khác!”, nhà phát triển chia sẻ.
Ethereum sử dụng sự kết hợp của các khóa công khai và khóa cá nhân để tạo địa chỉ ví. Những người có khóa cá nhân đến một địa chỉ có thể cho phép chuyển tiền từ tài khoản này sang tài khoản khác, xác minh quyền sở hữu tiền.Tuy nhiên, các địa chỉ vanity được tạo theo cách khác. Profanity cho phép người dùng tạo hàng triệu địa chỉ mỗi giây theo yêu cầu. Vì cơ chế tạo hàng loạt ví để lọc ra đúng chữ cái thoả mãn nhu cầu người dùng, 1inch cho biết họ có thể giả lập để truy hồi khóa cá nhân ví Profanity bằng chip GPU.