Хакеры украли $3,3 млн через уязвимость в генераторе Ethereum-адресов Profanity

Злоумышленники украли около $3,3 млн в криптовалюте у пользователей Ethereum, которые генерировали адреса через инструмент Profanity. Ранее об уязвимости сервиса предупредила команда 1inch Network.

Some rug pulls of 2022 could be actually “profanity” exploits of their deployer wallets ? https://t.co/vdwdMX0g2I

— Anton Bukov ?? ⚖️ (@k06a) September 17, 2022

Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и по сей день.

15 сентября команда 1inch предупредила сообщество, что ключи к таким адресам можно подобрать брутфорсом — систематическим перебором всех возможных комбинаций символов. Сервис использовал 32-битный вектор для заполнения 256-битных закрытых кодеров.

Тогда разработчики заявили, что уязвимость могла позволить украсть активы «на десятки, если не сотни миллионов долларов». Сооснователь 1inch Network Антон Буков отметил, что с ней могли быть связаны некоторые из зафиксированных в 2022 году схем rug pull.

На кражу средств обратил внимание исследователь под ником ZachXBT. Он также предупредил одного из пользователей, что хакеры получили доступ к его кошельку, и помог спасти NFT и токены на сумму свыше $1,2 млн. 

Update: Earlier I noticed the 0x6ae attacker hadn’t fully drained one of the wallets they interacted with.

Am pleased to share I helped alert the owner saving their $1.2m+ worth of crypto & NFTs (they’ve since moved everything)

0xDA0Da0Da0Da0a77740bB62c5c9D45423533d0CE2 pic.twitter.com/zP9LaovCv8

— ZachXBT (@zachxbt) September 17, 2022

Напомним, в сентябре 2022 года Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.

Источник