Les adresses de vanité d’Ethereum drainées de plus de 3 millions de dollars malgré l’avertissement de 1 pouce

Un pirate a réussi à voler 3,3 millions de dollars de crypto-monnaies à partir de plusieurs adresses Ethereum générées avec l’outil  » Profanity ». Les fonds ont été épuisés même après que l’agrégateur d’échange décentralisé 1inch a averti les utilisateurs de la découverte d’une grave vulnérabilité mettant des millions de dollars en danger.

Il avait précédemment conseillé aux utilisateurs possédant des adresses de portefeuille générées avec l’outil Profanity de transférer leurs actifs vers un autre portefeuille.

Rapport de sécurité 1 pouce

Au début de 2022, les contributeurs de 1 pouce ont observé que Profanity utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits et soupçonnaient que cela pouvait être dangereux. Après une enquête plus approfondie, une activité plus suspecte a été notée, signalant que les portefeuilles Profanity ont été compromis.

« Les contributeurs de 1 pouce ont vérifié les adresses personnalisées les plus riches sur les réseaux populaires et sont arrivés à la conclusion que la plupart d’entre elles n’avaient pas été créées par l’outil Profanity. Mais Profanity est l’un des outils les plus populaires en raison de sa grande efficacité. Malheureusement, cela ne peut que signifier que la plupart des portefeuilles Profanity ont été secrètement piratés. »

Selon 1inch, Profanity se trouve être un outil populaire et « très efficace » avec lequel les utilisateurs peuvent créer des millions d’adresses par seconde. Cependant, la procédure utilisée par Profanity pour générer les adresses n’était pas sans faille non plus et était susceptible d’attaques.

Le rapport de divulgation de la sécurité publié par 1inch la semaine dernière a également noté que la vulnérabilité peut avoir permis aux pirates de voler « secrètement » des millions de dollars dans les portefeuilles des utilisateurs de Profanity pendant des années. Les contributeurs tentent actuellement de déterminer toutes les adresses personnalisées compromises.

Peu de temps après l’avertissement, l’enquêteur de la blockchain ZachXBT a notifié l’attaque, drainant plus de 3 millions de dollars de fonds. Heureusement, son tweet a aidé un utilisateur à économiser 1,2 million de dollars en crypto et en NFT au pirate informatique qui avait accès à son portefeuille.

Projet d’abandon des développeurs grossiers

Selon Tal Be’ery, responsable de la sécurité et directeur de la technologie chez ZenGo, les entités malveillantes auraient pu « s’asseoir » sur la vulnérabilité pour tenter de mettre la main sur autant de clés privées que possible de Profanity bourré de bogues- ont généré des adresses personnalisées avant que la vulnérabilité ne soit détectée. Cependant, ils ont encaissé après qu’il ait été publiquement exposé par 1 pouce.

Pendant ce temps, l’un des développeurs de Profanity, qui porte le pseudonyme « johguse » sur Github, a déclaré avoir déjà « abandonné » le projet il y a quelques années. Le commentaire concernant la même lecture,

« Ce projet a été abandonné par moi il y a quelques années. Des problèmes de sécurité fondamentaux dans la génération de clés privées ont été portés à mon attention. Je déconseille fortement d’utiliser cet outil dans son état actuel. Ce référentiel sera bientôt mis à jour avec des informations supplémentaires concernant ce problème critique. »

Le poste Les adresses de vanité d’Ethereum drainées de plus de 3 millions de dollars malgré l’avertissement de 1 pouce sont apparues en premier sur CryptoPotato.