El agregador de intercambio descentralizado 1 pulgada afirmó el 15 de agosto haber descubierto una vulnerabilidad grave en la herramienta de generación de direcciones de vanidad de Ethereum, Profanity. Esto tiene el potencial de poner en riesgo millones de dólares en dinero de los usuarios.
El fundador y CEO de 1 pulgada, Anton Bukov, advirtió a los usuarios de ethereum en un Pío que “los fondos no son Safu”, la jerga criptográfica utilizada para expresar que los fondos de los usuarios corren el riesgo de perderse después de un pirateo o una explotación.
“Transfiera todos sus activos a una billetera diferente lo antes posible”, dijo más tarde 1inch Network en un documento de seguridad. reporte. “Si usó Blasfemias para obtener una dirección de contrato inteligente personalizada, asegúrese de cambiar los propietarios de ese contrato inteligente”.
Cientos de millones de dólares en riesgo
Blasfemia es una herramienta que permite a los usuarios de Ethereum crear “direcciones personalizadas”, un tipo de billeteras criptográficas personalizadas que contienen nombres o números reconocibles dentro de ellas. La popular herramienta se lanzó en algún momento de 2017.
En su informe, 1 pulgada explicó que las claves privadas de las direcciones generadas en Profanity podrían calcularse mediante ataques de fuerza bruta. Afirmó que la vulnerabilidad puede haber permitido a los piratas informáticos “secretamente” desviar millones de dólares de las billeteras de los usuarios de Profanity durante años.
“Los colaboradores de 1 pulgada todavía están tratando de determinar todas las direcciones personalizadas que fueron pirateadas”, dijo el equipo, y agregó:
“No es una tarea sencilla, pero en este punto parece que se podrían robar decenas de millones de dólares en criptomonedas, si no cientos de millones. Una cosa buena es que las pruebas de piratería están disponibles en la cadena para siempre”.
Desarrollador de blasfemias: ¡no use esta herramienta!
Desarrollador anónimo de blasfemias, que se conoce con el apodo de ‘johguse’ en Github, dijo que “abandonaron” el proyecto hace unos años tras enterarse de “cuestiones fundamentales de seguridad en la generación de claves privadas”.
“Recomiendo enfáticamente no usar esta herramienta en su estado actual. El código no recibirá ninguna actualización y lo dejé en un estado no compilable. ¡Usa otra cosa!” agregó el desarrollador.
Ethereum utiliza una combinación de claves públicas y privadas para generar direcciones de billetera, una larga lista de caracteres alfanuméricos aleatorios. Aquellos que tienen la clave privada de una dirección pueden autorizar la transferencia de fondos de una cuenta a otra, demostrando que son dueños del dinero.
Sin embargo, las direcciones mnemónicas se generan de forma un tanto diferente. 1inch detalló que Profanity, una herramienta popular y “altamente eficiente”, permitía a los usuarios crear millones de direcciones por segundo y buscaba esas cadenas de letras y números solicitadas por los usuarios para una dirección de billetera personalizada.
1inch dijo que el método utilizado por Profanity para generar las direcciones no era infalible y que las claves públicas de las direcciones de vanidad podían calcularse con ataques de fuerza bruta.
“Hace unos días, los contribuyentes de 1 pulgada lograron un código de prueba de concepto que les permitía recuperar claves privadas de cualquier dirección personalizada generada con Profanity casi al mismo tiempo que se requería para generar esa dirección personalizada”, explicó.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.