Nền tảng giao dịch phi tập trung 1inch tuyên bố vào ngày 15 tháng 9 rằng đã phát hiện ra một lỗ hổng nghiêm trọng trong công cụ tạo địa chỉ Ethereum, Profanity. Điều này có khả năng khiến hàng triệu USD tiền của người dùng gặp rủi ro.
Người sáng lập và Giám đốc điều hành 1inch (1INCH), Anton Bukov, đã cảnh báo người dùng Ethereum rằng “tiền đang không an toàn (Safu)”. Anh ám chỉ rằng tiền của người dùng có nguy cơ bị mất sau khi bị hack hoặc khai thác.
“Chuyển tất cả tài sản của bạn sang một ví khác càng sớm càng tốt,” 1inch network sau đó cho biết trong một báo cáo bảo mật. “Nếu bạn đã sử dụng Profanity để lấy địa chỉ hợp đồng thông minh dạng vanity, hãy đảm bảo thay đổi chủ sở hữu của hợp đồng thông minh đó”.
Hàng trăm triệu USD gặp rủi ro
Profanity là một công cụ cho phép người dùng Ethereum tạo địa chỉ theo dạng “vanity”, một loại ví tiền điện tử tùy chỉnh có chứa tên hoặc số dễ nhận biết bên trong chúng. Công cụ phổ biến này đã được ra mắt vào năm 2017.
Trong báo cáo của mình, 1inch giải thích rằng các khóa riêng tư của các địa chỉ được tạo trên Profanity có thể được tính toán bằng cách sử dụng các cuộc tấn công brute force. Nền tảng tuyên bố rằng lỗ hổng bảo mật có thể đã cho phép tin tặc “bí mật” bòn rút hàng triệu USD từ ví của người dùng Profanity trong nhiều năm.
“Đội ngũ của 1 inch vẫn đang cố gắng xác định tất cả các địa chỉ trang đích đã bị tấn công”, nền tảng cho biết thêm. “Đó không phải là một nhiệm vụ đơn giản, nhưng tại thời điểm này, có vẻ như hàng chục triệu USD tiền điện tử có thể bị đánh cắp, nếu không muốn nói là hàng trăm triệu. Một điều may mắn là bằng chứng về các vụ hack luôn tồn tại on-chain.”
Nhà phát triển Profanity: Không nên sử dụng công cụ này
Nhà phát triển ẩn danh Profanity, người có biệt danh là ‘johguse’ trên Github, nói rằng họ đã “bỏ rơi” dự án vài năm trước sau khi phát hiện ra “các vấn đề bảo mật cơ bản trong quá trình tạo khóa riêng”.
“Tôi thực sự khuyên bạn không nên sử dụng công cụ này trong tình trạng hiện tại của nó. Code sẽ không nhận được bất kỳ bản cập nhật nào và tôi đã để nó ở trạng thái không thể thay đổi được. Dùng thứ khác đi” nhà phát triển nói thêm.
Ethereum sử dụng sự kết hợp của các khóa công khai và riêng tư để tạo địa chỉ ví – một danh sách dài các ký tự chữ và số ngẫu nhiên. Những người có khóa cá nhân của một địa chỉ có thể cho phép chuyển tiền từ tài khoản này sang tài khoản khác.
Tuy nhiên, các địa chỉ dang “vanity” được tạo hơi khác. 1 inch nêu chi tiết rằng Profanity, một công cụ phổ biến và “hiệu quả cao”, cho phép người dùng tạo hàng triệu địa chỉ mỗi giây và tìm kiếm các chuỗi chữ cái và số được người dùng yêu cầu cho địa chỉ ví riêng.
1inch cho biết phương pháp được sử dụng bởi Profanity để tạo địa chỉ là không hiệu quả và các khóa công khai từ các địa chỉ vanity có thể được tìm ra bằng các cuộc tấn công brute force.
“Một vài ngày trước, đội ngũ 1inch đã hoàn hiện bộ mã proof-of-concept, cho phép họ khôi phục khóa cá nhân từ bất kỳ địa chỉ vanity nào được tạo bằng Profanity gần như cùng thời điểm được yêu cầu để tạo địa chỉ đó,” Nền tảng giải thích.
Bạn nghĩ sao về thông tin trên? Chia sẻ ngay ý kiến trong nhóm Telegram của chúng tôi nhé.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.