Sejak industri kripto mengembangkan pertumbuhannya, ia telah menjadi tempat kegemaran penggodam untuk melakukan eksploitasi. Alamat sia-sia Ethereum yang dijana melalui alat Profanity kini telah menjadi celah terbaharu untuk menipu berjuta-juta pengguna crypto.
Menurut firma penyedia cerapan pasaran, Etherscan, alamat tersuai Ethereum yang dibuat melalui alat Profanity telah dilanggar oleh penggodam yang mencuri hampir $3.3 juta daripada beberapa
alamat ETH tersuai. Bacaan Berkaitan: Firma Dagangan Kripto Wintermute Telah Mengalami Penggodaman $160 Juta
ZachXBT, pakar yang menjejaki aktiviti penggodam, mula-mula dikesan dan dimaklumkan tentang pelanggaran yang bermula pada 16 September. Detektif tanpa nama itu turut mengekalkan NFT pengguna bernilai $1.2 juta yang memindahkan asetnya daripada alamat kesombongan selepas dimaklumkan.
Alamat kesombongan adalah sesuatu seperti bilangan kenderaan keemasan yang mana penunggang membayar tinggi dalam cuba untuk menunjuk-nunjuk. Berkemungkinan, alamat sia-sia melibatkan nama seseorang atau maklumat yang diingini untuk dipaparkan sebagai alamat ternama yang dibuat melalui alatan seperti Profanity.
Kerentanan 1Inch Terdedah Sebelum Dieksploitasi
Perlu diambil perhatian bahawa agregator pertukaran terdesentralisasi 1Inch, yang sebelum ini mencadangkan menggunakan alat itu, memaklumkan komuniti sebelum penggodaman bahawa alamat kesombongan menimbulkan kerentanan yang lebih tinggi. Dalam laporan diterbitkan minggu lepas, firma itu mencadangkan pengguna memindahkan dana mereka daripada alamat dompet yang dibuat menggunakan Profanity.
1Inch berkata bahawa Profanity menjadi alat yang menonjol untuk menjana berjuta-juta alamat dalam satu saat, dan komuniti crypto yang lebih luas menggunakannya. Tetapi, kemudian, penyumbang 1Inch mengesan prosedur yang digunakan tidak sempurna dan terbuka kepada eksploitasi.
Pakar menyatakan bahawa prosedur alat itu menggunakan vektor 32-bit untuk menjana kod 256-bit, yang dipanggil kunci peribadi. Dan proses ini telah diiktiraf sebagai tidak selamat dalam laporan. Laporan itu berbunyi;
Penyumbang 1 inci menyemak alamat sia-sia terkaya di rangkaian popular dan membuat kesimpulan bahawa kebanyakannya tidak dicipta oleh alat Profanity. Tetapi Profanity adalah salah satu alat yang paling popular kerana kecekapannya yang tinggi. Malangnya, ini hanya bermakna bahawa kebanyakan dompet Profanity telah digodam secara rahsia.
Harga Ethereum kini didagangkan melebihi $1,300. | Sumber: Carta harga ETHUSD daripada TradingView.com
Penggodam Mengeluarkan Wang Curi Selepas Laporan 1Inch
Penggodam telah menghabiskan wang daripada alamat dompet yang disasarkan serta-merta selepas laporan 1Inch mendedahkan kelemahan, setiap ZachXBT. Penggodam kemudian memindahkan dana yang dicuri ke alamat Ethereum yang baharu.
Tal Be’eryBe’ery, ketua pejabat teknologi dan ketua keselamatan di ZenGo, mengulas mengenai pelanggaran;
“Nampaknya penyerang telah mengambil kira kelemahan ini, cuba mencari sebanyak mungkin kunci peribadi bagi alamat sia-sia yang dijana oleh Profanity yang terdedah sebelum kelemahan itu diketahui. Setelah didedahkan secara terbuka sebanyak 1 inci, penyerang mengeluarkan wang dalam beberapa minit daripada berbilang alamat sia-sia.”
Bacaan Berkaitan: Sentimen Pasaran Kripto yang menurun Menghantar Pelabur Kembali Ke Stablecoin
Selain itu, pembangun Profanity turut memberi amaran kepada pengguna tentang kelemahan yang ditemuinya dalam kod tersebut beberapa tahun lalu. Pembangun mengetengahkan isu pada GitHub dan meninggalkan projek dengan mendedahkan keadaan semasa alat itu tidak selamat untuk digunakan.
Imej yang ditampilkan daripada Pixabay dan carta daripada TradingView.com
