Команда 1inch предупредила об уязвимости в генераторе Ethereum-адресов Profanity

Сообщается, что ключи к кошелькам, созданным с помощью сервиса, можно вычислить методом перебора

16.09.2022 - 13:20

942

4 мин

Что произошло? 15 сентября представители агрегатора децентрализованных бирж (DEX) 1inch предупредили, что счета Ethereum, созданные с помощью инструмента Profanity, находятся под угрозой. Основатель и гендиректор 1inch Антон Буков сообщил в Twitter, что активы пользователей подвержены риску потери в результате взлома или эксплойта. Он призвал держателей ETH не использовать персонализированные адреса, созданные через сервис Profanity. Позднее команда 1inch порекомендовала перевести все активы в другой кошелек «как можно скорее».

Блог 1inch

Источник: Twitter.com

Что известно об уязвимости? Согласно отчету 1inch, ключи к адресам, созданным через Profanity, можно вычислить методом перебора. В компании заявили, что уязвимость могла позволить хакерам тайно выкачивать миллионы долларов из кошельков пользователей генератора в течение многих лет. Разработчики 1inch работают над выявлением всех взломанных кошельков.

Анонимный разработчик Profanity, зарегистрированный на GitHub под псевдонимом johguse, сообщил, что проект был заброшен несколько лет назад. Это произошло после того, как команда узнала о «фундаментальных проблемах безопасности при генерации закрытых ключей».

Ethereum использует комбинацию открытого и закрытого ключей для генерации адресов кошельков — длинного списка случайных буквенно-цифровых символов. Те, у кого есть закрытый ключ к адресу, могут санкционировать перевод средств с одного счета на другой. В свою очередь Profanity позволяет не только создавать читаемые адреса, но и осуществлять по ним поиск. Метод генерации адресов Profanity эксперты 1inch назвали ненадежным.

В июне криптокошельки MetaMask и Phantom устранили критическую уязвимость в расширении браузера. Баг, обнаруженный компанией Halborn еще в сентябре 2021 года, позволял хакерам извлекать seed-фразы из компьютеров пользователей.

В сентябре разработчик Петер Силадьи опубликовал отчет об устранении уязвимости в сети Avalanche. Проблема была выявлена 29 марта 2022 года и грозила полным отключением блокчейна.

Автор: