დეცენტრალიზებული გაცვლის აგრეგატორი 1inch 15 სექტემბერს განაცხადა, რომ აღმოაჩინა სერიოზული დაუცველობა ქ Ethereum ამაო მისამართის გენერირების ინსტრუმენტი უხამსი. ამას აქვს პოტენციალი, რომ მილიონობით დოლარის მომხმარებლის ფული რისკის ქვეშ დააყენოს.
1inch-ის დამფუძნებელმა და აღმასრულებელმა დირექტორმა ანტონ ბუკოვმა გააფრთხილა ethereum-ის მომხმარებლები ა Tweet რომ „თანხები არ არის საფუ“, კრიპტო ლინგო გამოიყენებოდა იმის გამოსახატავად, რომ მომხმარებლის სახსრები დაკარგვის რისკის ქვეშ იმყოფება გატეხვა ან ექსპლუატაცია.
”გადაიტანეთ მთელი თქვენი ქონება სხვაზე საფულე რაც შეიძლება მალე“, - თქვა მოგვიანებით 1inch Network-მა უსაფრთხოების მოხსენება. „თუ თქვენ იყენებდით Profanity გონიერი კონტრაქტის მისამართის მისაღებად, დარწმუნდით, რომ შეცვალეთ ამ ჭკვიანი კონტრაქტის მფლობელები.
ასობით მილიონი დოლარი რისკის ქვეშ
უხამსობა არის ინსტრუმენტი, რომელიც Ethereum-ის მომხმარებლებს საშუალებას აძლევს შექმნან „ამაო მისამართები“, მორგებული კრიპტო საფულეების ტიპი, რომელიც შეიცავს მათში ცნობად სახელებს ან ნომრებს. პოპულარული ინსტრუმენტი გამოვიდა 2017 წელს.
თავის ანგარიშში 1inch-მა განმარტა, რომ პროფანიტზე გენერირებული მისამართების პირადი გასაღებები შეიძლება გამოითვალოს უხეში ძალის შეტევების გამოყენებით. იგი ამტკიცებდა დაუცველობაზე შესაძლოა ჰაკერებს წლების განმავლობაში „ფარულად“ აეღოთ მილიონობით დოლარი Profanity-ის მომხმარებლების საფულეებიდან.
”1 ინჩის ავტორები კვლავ ცდილობენ დაადგინონ ყველა ამაო მისამართი, რომელიც გატეხილია”, - თქვა ეკიპირმა და დასძინა:
„ეს არ არის მარტივი ამოცანა, მაგრამ ამ ეტაპზე, როგორც ჩანს, ათობით მილიონი დოლარის კრიპტოვალუტის მოპარვა შეიძლება, თუ არა ასობით მილიონი. ერთი კარგი რამ არის ის, რომ ჰაკერების მტკიცებულებები სამუდამოდ ხელმისაწვდომია ჯაჭვზე. ”
უხამსობის შემქმნელი: არ გამოიყენოთ ეს ინსტრუმენტი!
უხამსი ანონიმური დეველოპერი, რომელიც Github-ზე იყენებს სახელწოდებით 'johguse', განაცხადა რომ მათ „მიატოვეს“ პროექტი რამდენიმე წლის წინ მას შემდეგ, რაც გაიგეს „უსაფრთხოების ფუნდამენტური საკითხების შესახებ პირადი გასაღებების გენერაციაში“.
”მე მტკიცედ გირჩევთ არ გამოიყენოთ ეს ინსტრუმენტი მის ამჟამინდელ მდგომარეობაში. კოდი არ მიიღებს განახლებებს და მე დავტოვე ის შეუთავსებელ მდგომარეობაში. გამოიყენეთ სხვა რამ! ” დაამატა დეველოპერმა.
Ethereum იყენებს საჯარო და კერძო გასაღებების კომბინაციას საფულის მისამართების შესაქმნელად - შემთხვევითი ალფაციფრული სიმბოლოების გრძელი სია. მათ, ვისაც აქვს მისამართის პირადი გასაღები, შეუძლიათ დაუშვან თანხის გადარიცხვა ერთი ანგარიშიდან მეორეზე, რაც ადასტურებს, რომ ფლობს ფულს.
თუმცა ამაო მისამართები გარკვეულწილად განსხვავებულად იქმნება. 1inch დეტალურად იყო აღწერილი, რომ Profanity, პოპულარული და „უაღრესად ეფექტური“ ინსტრუმენტი, საშუალებას აძლევდა მომხმარებლებს შეექმნათ მილიონობით მისამართი წამში და მოეძებნათ ასოებისა და რიცხვების ის სტრიქონები, რომლებსაც მომხმარებლები ითხოვდნენ შეკვეთილი საფულის მისამართისთვის.
1inch-მა თქვა, რომ მეთოდი, რომელსაც პროფანიტი იყენებდა მისამართების გენერირებისთვის, არ იყო უტყუარი და რომ ამაო მისამართებიდან საჯარო გასაღებები შეიძლება გამოითვალოს უხეში ძალის შეტევებით.
„რამდენიმე დღის წინ, 1 ინჩის კონტრიბუტორებმა მიაღწიეს კონცეფციის დამადასტურებელ კოდს, რომელიც მათ საშუალებას აძლევდა აღედგინათ პირადი გასაღებები ნებისმიერი ამაო მისამართიდან, რომელიც გენერირებული იყო Profanity-ით, თითქმის იმავე დროს, რაც საჭირო იყო ამ ამაო მისამართის გენერირებისთვის“, - განმარტა მან.
პასუხისმგებლობის შეზღუდვის განაცხადი
ჩვენს ვებგვერდზე განთავსებული ყველა ინფორმაცია კეთილსინდისიერად ქვეყნდება და მხოლოდ ზოგადი ინფორმაციის მისაღებად. ნებისმიერი ქმედება, რომელიც მკითხველმა განახორციელებს ჩვენს ვებგვერდზე განთავსებულ ინფორმაციასთან დაკავშირებით, მკაცრად ემუქრება მათ რისკს.
წყარო: https://beincrypto.com/1inch-severe-vulnerability-ethereum-vanity-address-tool-risks-millions-dollars/