Advertisement
3,3 triệu đô la bị đánh cắp từ các địa chỉ Ethereum vanity
Một hacker đã đánh cắp 3,3 triệu đô la từ một số địa chỉ Ethereum vanity được tạo bằng công cụ Profanity.
Theo một báo cáo trước đó từ 1inch, một lỗ hổng từ các địa chỉ này cho phép tin tặc trích xuất khóa cá nhân.
Nhưng vấn đề bảo mật được nhấn mạnh bởi 1inch không thể được khắc phục kịp thời để ngăn chặn việc khai thác. Theo nhà phát triển ẩn danh “johguse”, dự án phát triển về Profanity đã dừng cách đây vài năm.
>>> Đọc thêm: 1 Inch phát hiện lỗ hổng trong địa chỉ Ethereum Vanity
Lỗ hổng bảo mật
Johguse đã nhận ra lỗ hổng trong công cụ và cảnh báo người dùng chống lại việc sử dụng nó. Trong một cuộc điều tra sau đó, công ty quản lý trực tuyến ZachXBT tuyên bố rằng một tin tặc đã khai thác cùng một lỗ hổng để đánh cắp ước tính 3,3 triệu đô la tài sản tiền điện tử từ các địa chỉ dựa trên Profanity. Số tiền bị đánh cắp được chuyển từ địa chỉ của nạn nhân sang địa chỉ Ethereum mới do hacker kiểm soát.
Vụ khai thác trị giá 3,3 triệu đô la đã thu hút nhiều bình luận từ các chuyên gia nghi ngờ rằng các tin tặc độc hại có thể đã biết trước về vấn đề bảo mật.
“Có vẻ như những kẻ tấn công đã biết trước lỗ hổng bảo mật này, cố gắng tìm càng nhiều khóa cá nhân càng tốt của các địa chỉ vanity được tạo ra từ Profanity dễ bị tấn công trước khi lỗ hổng được biết đến. Sau khi bị 1 inch công khai, những kẻ tấn công đã rút tiền mặt trong vài phút từ nhiều địa chỉ ảo ”, Tal Be’ery, giám đốc bảo mật và giám đốc công nghệ tại ZenGo, cho biết.
Đáng chú ý, 1inch cũng cho rằng lỗ hổng bảo mật trước đây đã được tin tặc sử dụng để khai thác tiềm năng trị giá hàng triệu đô la. 1inch tuyên bố rằng có thể tính toán lại một số khóa riêng của các địa chỉ vanity bằng chip GPU.
“Chúng tôi có bằng chứng về khái niệm khôi phục Khóa riêng tư từ khóa công khai. Vì vậy, bạn có thể gửi cho chúng tôi một khóa công khai (không phải địa chỉ) được tạo qua Profanity và chúng tôi sẽ gửi lại cho bạn một khóa riêng tư”.