Agrégateur d'échange décentralisé 1m a affirmé le 15 septembre avoir découvert une grave vulnérabilité dans Ethereum outil de génération d'adresse personnalisée Blasphème. Cela a le potentiel de mettre en danger des millions de dollars en argent des utilisateurs.
Le fondateur et PDG de 1 pouce, Anton Bukov, a averti les utilisateurs d'Ethereum dans un Tweet que «les fonds ne sont pas Safu», jargon cryptographique utilisé pour exprimer que les fonds des utilisateurs risquent de perdre à la suite d'un pirater ou exploiter.
« Transférez tous vos actifs vers un autre portefeuille dès que possible », a déclaré plus tard 1inch Network dans un sécurité rapport. "Si vous avez utilisé Profanity pour obtenir une adresse de contrat intelligent vanité, assurez-vous de changer les propriétaires de ce contrat intelligent."
Des centaines de millions de dollars en danger
Profanity est un outil qui permet aux utilisateurs d'Ethereum de créer des "adresses personnalisées", un type de portefeuilles cryptographiques personnalisés contenant des noms ou des numéros reconnaissables. L'outil populaire a été lancé en 2017.
Dans son rapport, 1inch a expliqué que les clés privées des adresses générées sur Profanity pouvaient être calculées à l'aide d'attaques par force brute. Il revendiquait le vulnérabilité a peut-être permis aux pirates de siphonner "secrètement" des millions de dollars des portefeuilles des utilisateurs de Profanity pendant des années.
"Les contributeurs de 1 pouce essaient toujours de déterminer toutes les adresses personnalisées qui ont été piratées", a déclaré la société, ajoutant :
«Ce n'est pas une tâche simple, mais à ce stade, il semble que des dizaines de millions de dollars en crypto-monnaie pourraient être volés, voire des centaines de millions. Une bonne chose est que les preuves de piratage sont disponibles sur la chaîne pour toujours.
Développeur de grossièretés : n'utilisez pas cet outil !
Développeur anonyme de blasphème, qui porte le surnom de "johguse" sur Github, a affirmé Valérie Plante. qu'ils ont "abandonné" le projet il y a quelques années après avoir découvert "des problèmes de sécurité fondamentaux dans la génération de clés privées".
« Je déconseille fortement d'utiliser cet outil dans son état actuel. Le code ne recevra aucune mise à jour et je l'ai laissé dans un état non compilable. Utilisez autre chose !" a ajouté le développeur.
Ethereum utilise une combinaison de clés publiques et privées pour générer des adresses de portefeuille - une longue liste de caractères alphanumériques aléatoires. Ceux qui ont la clé privée d'une adresse peuvent autoriser le transfert de fonds d'un compte à un autre, prouvant qu'ils sont propriétaires de l'argent.
Les adresses personnalisées, cependant, sont générées quelque peu différemment. 1inch a détaillé que Profanity, un outil populaire et "très efficace", permettait aux utilisateurs de créer des millions d'adresses par seconde et recherchait les chaînes de lettres et de chiffres demandées par les utilisateurs pour une adresse de portefeuille sur mesure.
1inch a déclaré que la méthode utilisée par Profanity pour générer les adresses n'était pas infaillible et que les clés publiques des adresses personnalisées pouvaient être calculées avec des attaques par force brute.
"Il y a quelques jours, les contributeurs de 1 pouce ont obtenu un code de preuve de concept leur permettant de récupérer les clés privées de n'importe quelle adresse personnalisée générée avec Profanity presque au même moment que celui nécessaire pour générer cette adresse personnalisée", a-t-il expliqué.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/