La vulnérabilité de l’outil de blasphème coûte 3,3 millions de dollars, malgré un avertissement de 1 pouce

L’agrégateur d’échange décentralisé 1inch Network a émis un avertissement aux investisseurs en crypto après avoir identifié une vulnérabilité dans Profanity, un outil de génération d’adresses personnalisées Ethereum (ETH). Malgré l’avertissement proactif, les pirates ont apparemment pu gagner 3,3 millions de dollars en crypto-monnaies.

Le 15 septembre, 1Inch a révélé le manque de sécurité lors de l’utilisation de Profanity, car il utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits. Une enquête plus approfondie a mis en évidence l’ambiguïté dans la création d’adresses personnalisées, suggérant que les portefeuilles Profanity étaient secrètement piratés. L’avertissement est venu sous la forme d’un tweet, comme indiqué ci-dessous.

IDIOTS MARCHANTS

⚠️ Spoiler : Votre argent n’est PAS SAFU si votre adresse de portefeuille a été générée avec l’outil Profanity. Transférez tous vos actifs vers un autre portefeuille dès que possible !

➡️ En savoir plus : https://t.co/oczK6tlEqG#Ethereum #crypto #vulnérabilité #1 pouce

– Réseau 1 pouce (@ 1 pouce) 15 septembre 2022

Une enquête ultérieure menée par le chercheur blockchain ZachXBT a montré que l’exploitation réussie de la vulnérabilité permettait aux pirates d’exploiter 3,3 millions de dollars en crypto.

Il semble que 3,3 millions de dollars de crypto ont été exploités par 0x6ae de cette vulnérabilité.

Fait intéressant, Indexed Finance Exploiter a été la première adresse aspirée par 0x6ae.

Adresse des attaquants :
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq

– ZachXBT (@zachxbt) 17 septembre 2022

De plus, ZachXBT a aidé un utilisateur à économiser plus de 1,2 million de dollars en crypto et en jetons non remplaçables (NFT) après l’avoir alerté sur le pirate informatique accédant au portefeuille de l’utilisateur. Après la révélation, de nombreux utilisateurs ont confirmé que leurs fonds étaient en sécurité, comme un déclaré::

« Wtf 6h après l’attaque, mes adresses étaient toujours vulnérables, mais l’agresseur ne m’a pas vidé ? avait 55k à risque lol « 

Cependant, les pirates ont tendance à attaquer les plus gros portefeuilles avant de passer à des portefeuilles de moindre valeur. Les utilisateurs qui possèdent des adresses de portefeuille générées avec l’outil Profanity ont été invités à « transférer tous vos actifs vers un autre portefeuille dès que possible ! » par 1 pouce.

Lié: Les forces de l’ordre récupèrent 30 millions de dollars grâce au piratage du pont Ronin grâce à Chainalysis

Alors que certains pirates préfèrent la méthode traditionnelle consistant à drainer les fonds des utilisateurs après avoir accédé illégalement à des portefeuilles cryptographiques, d’autres tentent de nouvelles façons de tromper les investisseurs en partageant leurs clés privées.

L’une des récentes escroqueries innovantes a été le piratage d’une chaîne YouTube pour la lecture de vidéos fabriquées d’Elon Musk discutant des crypto-monnaies. Le 3 septembre, la chaîne YouTube du gouvernement sud-coréen a été temporairement piratée et renommée pour le partage de diffusions en direct de vidéos liées à la cryptographie.

L’identifiant et le mot de passe compromis de la chaîne YouTube ont été identifiés comme la cause première du piratage.