Почти $1 млн криптовалюты украдено с помощью эксплойта с суетными адресами

Взломы и эксплойты продолжают терзать сектор децентрализованных финансов (DeFi), поскольку еще один адрес тщеславного кошелька присоединился к списку жертв DeFi, которые в совокупности потеряли более $1,6 млрд. в 2022 году. 

В предупреждении, опубликованном компанией PeckShield, специализирующейся на безопасности блокчейна, хакер был обнаружен после кражи 732 Ether (ETH), около $950 000, с адреса, созданного на генераторе адресов кошельков Ethereum vanity под названием Profanity. Опустошив кошелек, эксплуататоры отправили криптовалюту в недавно санкционированный криптомикшер Tornado Cash.

#PeckShieldAlert Похоже, что криптовалюта стоимостью $950k была украдена 0x9731F с "адреса тщеславия" Ethereum, созданного с помощью инструмента под названием Profanity. Эксплойтер уже перевел ~732 $ETH в Mixer pic.Twitter.com/QOZfnE49H4

- PeckShieldAlert (@PeckShieldAlert) 26 сентября 2022 г.

Vanity-адреса - это индивидуальные адреса криптокошельков, которые генерируются для включения слов или определенных символов, выбранных владельцем. Однако, как показали недавние эксплойты, безопасность тщеславных адресов остается под вопросом.

Ранее в сентябре децентрализованная биржа (DEX) 1inch Network предупредила членов сообщества о том, что их адреса небезопасны, если они были сгенерированы с использованием Profanity. DEX призвала держателей криптовалют с тщеславными адресами немедленно перевести свои активы. По словам 1inch, генератор тщеславных адресов использовал случайный 32-битный вектор для засева 256-битных закрытых ключей, что означает отсутствие безопасности.

После предупреждения DEX, ZachXBT, исследователь блокчейна, объявил, что эксплуатация уязвимости в Profanity уже позволила некоторым хакерам уйти с цифровыми активами на сумму 3,3 миллиона долларов. 

20 сентября криптовалютный маркет-мейкер, базирующийся в Великобритании, пострадал от эксплойта, который привел к потерям в размере 160 миллионов долларов. По словам исследователя Аджая Дхингра, эксплойт мог быть вызван тем, что горячий кошелек компании был взломан и манипулировал ошибкой в смарт-контракте. Евгений Гаевой, основатель и генеральный директор компании, призвал злоумышленников выйти на связь, поскольку они готовы рассматривать эксплойт как хакерскую атаку.