Un hacker logró robar USD 3,3 millones en criptomonedas de varias direcciones de Ethereum generadas con la herramienta "Profanity". Los fondos también se agotaron después de que el agregador de intercambio descentralizado de 1 pulgada advirtiera a los usuarios que descubrió una vulnerabilidad importante que ponía en riesgo millones de dólares.
Anteriormente aconsejó a los usuarios que tienen direcciones de billetera generadas con la herramienta Profanity que transfieran sus activos a una billetera diferente.
informe de seguridad de 1 pulgada
A principios de 2022, los colaboradores de 1 pulgada observaron que Profanity usaba un vector aleatorio de 32 bits para generar claves privadas de 256 bits y sospechaban que podría ser peligroso. Luego de una mayor investigación, se detectó más actividad sospechosa, informando que las billeteras de Profanity estaban comprometidas.
“Los colaboradores de 1 pulgada verificaron las direcciones de vanidad más ricas en redes populares y llegaron a la conclusión de que la mayoría de ellas no fueron creadas por la herramienta Profanity. Pero Profanity es una de las herramientas más populares debido a su alta eficiencia. Desafortunadamente, esto solo podría significar que la mayoría de las billeteras de Profanity han sido pirateadas en secreto. "
Según 1inch, Profanity parece ser una herramienta popular y "altamente eficiente" con la que los usuarios pueden crear millones de direcciones por segundo. Sin embargo, incluso el procedimiento utilizado por Profanity para generar las direcciones no era perfecto y era susceptible de sufrir ataques.
El informe de divulgación de seguridad publicado por 1 pulgada la semana pasada también encontró que la vulnerabilidad puede haber permitido a los piratas informáticos robar "en secreto" millones de dólares de las billeteras de los usuarios de Profanity durante años. Actualmente, los colaboradores están tratando de determinar todas las direcciones personalizadas comprometidas.
Inmediatamente después de la advertencia, el investigador de blockchain ZachXBT notificó el ataque que drenó fondos por valor de más de $ 3 millones. Afortunadamente, su tweet ayudó a un usuario a ahorrar USD 1,2 millones en criptomonedas y NFT del hacker que tenía acceso a su billetera.
Proyecto de abandono del desarrollador de vulgaridad
Según Tal Be'ery, director de seguridad y director de tecnología de ZenGo, las entidades malintencionadas pueden haberse "sentado" en la vulnerabilidad en un intento de tener en sus manos la mayor cantidad de claves de dirección vanidosas privadas generadas por blasfemias plagadas de errores antes de que la se detectó la vulnerabilidad. Sin embargo, cobraron después de que se expuso públicamente 1 pulgada.
Mientras tanto, uno de los desarrolladores de Profanity, que se conoce con el nombre de 'johguse' en Github, dijo que ya había "abandonado" el proyecto hace unos años. El comentario relativo a la misma lectura,
“Este proyecto lo abandoné hace un par de años. Me han llamado la atención los problemas fundamentales de seguridad en la generación de claves privadas. Recomiendo encarecidamente no utilizar esta herramienta en su estado actual. Este repositorio pronto se actualizará con más información sobre este tema crítico.
La publicación Vanity Addresses de Ethereum se vendió por más de $ 3 millones a pesar de la advertencia de 1 pulgada que apareció por primera vez en CryptoPotato .