" Агрегатор децентрализованных бирж 1inch опубликовал отчет с раскрытием информации о безопасности. В сообщении утверждается, что некоторые адреса Ethereum, созданные с помощью инструмента Profanity, имеют критическую уязвимость.
В отчете, основанном на исследовании безопасности от 1inch, утверждается, что эта уязвимость могла позволить хакерам тайно слить десятки миллионов долларов из кошельков пользователей, созданных на Profanity за последние несколько лет, хотя команда не предоставила доказательств этого утверждения.
«Это непростая задача, но на данный момент похоже, что десятки миллионов долларов в криптовалюте могут быть украдены, если не сотни миллионов. Хорошо то, что доказательства взлома всегда доступны в блокчейне», — пишет 1inch в своем отчете.
Запущенный в 2017 году Profanity — это инструмент, который позволяет пользователям Ethereum создавать «тщеславные адреса» — тип пользовательских кошельков, которые содержат в себе идентифицируемые имена или номера.
Согласно 1inch, закрытые ключи к этим адресам от Profanity могут быть рассчитаны с использованием атак грубой силы. Пользователям, сгенерировавшим свои адреса с помощью Profanity, было рекомендовано перевести свои активы на новые кошельки.
«Ваши деньги НЕ SAFU*, если адрес вашего кошелька был сгенерирован с помощью инструмента Profanity. Переведите все свои активы в другой кошелек как можно скорее», — написал 1inch.
Между тем, анонимный разработчик инструмента Profanity, известный на GitHub как «johguse», признал, что проблема безопасности реальна, и предупредил пользователей, чтобы они не использовали Profanity.
Далее этот человек уточнил, что работа над Profanity уже была остановлена несколько лет назад.
Ethereum использует открытые/закрытые ключи для обеспечения права собственности на средства. Если у вас есть закрытый ключ для адреса, вы можете подписать транзакцию, подтверждающую, что вы владеете средствами по этому адресу.
Большинство адресов действительно генерируются случайным образом и содержат строку случайных символов. Тщеславные адреса, с другой стороны, должны генерироваться с использованием специального метода. В своем отчете 1inch объяснил, что инструмент Profanity создавал миллионы адресов в секунду, пытаясь найти нужные буквы или цифры, которые запрашивались пользователями в качестве адресов пользовательских кошельков.
1inch утверждал, что метод генерации адресов Profanity не был безопасным, и что ключи, связанные с публичными адресами, можно было вычислить с помощью атак грубой силы. В то же время адреса, созданные другими подобными инструментами, могут быть безопасным.
Чтобы прийти к своему выводу, 1inch заявила, что смогла пересчитать некоторые закрытые ключи тщеславных адресов, сгенерированных Profanity, с помощью чипов графического процессора.
«У нас есть доказательство концепции восстановления закрытого ключа из открытого ключа. Так что вы можете отправить нам открытый ключ (не адрес), сгенерированный с помощью Profanity, и мы вышлем вам закрытый. Для этого вам нужно что-то подписать с помощью этого кошелька или отправить транзакцию», — говорится в заявлении команды 1inch.
* Safu — это термин, используемый для обозначения «безопасности» в криптосфере. Он был популяризирован на канале Bizonnaci в YouTube, где ютубер снял это забавное видео после того, как в июле 2018 года генеральный директор Binance написал в Твиттере, что «Средства в безопасности».
