Las direcciones mnemónicas creadas con el generador de direcciones de monedero mnemónico Profanity han sufrido otro ataque que ha provocado pérdidas de 966 dólares. El exploit reciente sigue a un hackeo anterior de manera similar dirigido a direcciones personalizadas de Ethereum, con la herramienta Profanity como denominador común.
El hacker movió 732 ETH a Tornado Cash
La entidad líder en seguridad, PeckShield, descubrió el exploit a través de la cuenta oficial de Twitter de su extensión de Chrome PeckShieldAlert. La empresa llamó la atención de la criptocomunidad sobre la transferencia de aproximadamente 732 ETH (con un valor de $ 966k frente a las tasas vigentes al momento de la publicación).
#AlertaPeckShield Parece que 950x0F robó $ 9731k en criptografía de Ethereum "dirección de vanidad" generada con una herramienta llamada Profanity. El explotador ya transfirió ~732 $ ETH en mezclador pic.twitter.com/QOZfnE49H4
- PeckShieldAlert (@PeckShieldAlert) 26 de septiembre de 2022
Como un intento de ocultar su rastro, la dirección de la billetera 0x9731F involucrado en el exploit transfirió los fondos robados a la OFAC-sancionado Tornado Cash Mezclador. El hacker realizó la transferencia de los fondos a Tornado Cash de forma sucesiva. El individuo ya vació la billetera al momento de la publicación, dejando un saldo de 0.05 ETH.
El hackeo se produce poco después de que varias otras direcciones personalizadas generadas con Profanity perdieran más de $3 millones en un exploit. La semana pasada, surgieron informes de un pirateo que provocó la pérdida de $ 3.3 millones. Las direcciones afectadas parecen haber sido generadas usando Blasfemias.
La herramienta de blasfemias parece tener un problema de seguridad
El exploit de la semana pasada siguió a varias llamadas de precaución del agregador de intercambio descentralizado 1inch, destacando las vulnerabilidades de Profanity. 1inch emitió una advertencia a través de Twitter, pidiendo a los inversores que transfirieran sus fondos en direcciones de Profanity a otros lugares.
Según 1inch, la práctica de Profanity de usar un vector de 32 bits para generar semillas de 256 bits lo prepara fácilmente para un ataque. Los informes del hackeo que surgieron el 18 de septiembre llegaron tres días después de la advertencia de 1 pulgada.
Las direcciones personalizadas suelen ser direcciones de billetera que contienen frases personalizadas elegidas por el usuario. Los usuarios generan estas direcciones utilizando una herramienta como Vanity-ETH y Profanity. No obstante, parece que Profanity tiene un problema de vulnerabilidad.
Uno de los desarrolladores de la herramienta. aconsejado personas en contra de usarlo, citando preocupaciones de seguridad, ya que señala que ha abandonado el proyecto. Como informó anteriormente Coingape, creador de mercado Invierno mudo Recientemente sufrió un hack. Aparentemente, el exploit fue posible debido a un compromiso de clave privada resultante de una vulnerabilidad de Blasfemia.
El contenido presentado puede incluir la opinión personal del autor y está sujeto a las condiciones del mercado. Haga su investigación de mercado antes de invertir en criptomonedas. El autor o la publicación no es responsable de su pérdida financiera personal.
Fuente: https://coingape.com/hack-profanity-vanity-addresses/