1inch: Phát hiện lỗ hổng nghiêm trọng có nguy cơ hàng triệu đô la bị thất lạc

Rate this post

Nền tảng giao dịch phi tập trung 1inch đã thông báo vào ngày 15 tháng 9 rằng họ đã phát hiện ra một lỗ hổng nghiêm trọng trong trình tạo địa chỉ Ethereum, Lời nói tục tĩu. Điều này có thể khiến hàng triệu đô la tiền của người dùng gặp rủi ro.

Người sáng lập và Giám đốc điều hành 1inch (1INCH), Anton Bukov, đã cảnh báo người dùng Ethereum rằng “tiền không an toàn (Safu)”. Ông ám chỉ rằng tiền của người dùng có nguy cơ bị mất sau khi bị hack hoặc khai thác.

“Chuyển tất cả tài sản của bạn sang ví khác càng sớm càng tốt”, mạng 1inch sau đó cho biết trong một báo cáo bảo mật. “Nếu bạn đã sử dụng Ngôn từ tục tĩu để lấy địa chỉ hợp đồng thông minh hư ảo, hãy đảm bảo thay đổi chủ sở hữu của hợp đồng thông minh đó”.

Hàng trăm triệu đô la bị rủi ro

Ngôn từ tục tĩu là một công cụ cho phép người dùng Ethereum tạo địa chỉ ở dạng “hư ảo”, một loại ví tiền điện tử tùy chỉnh có chứa tên hoặc số dễ nhận biết bên trong chúng. Công cụ phổ biến này đã được ra mắt vào năm 2017.

Trong báo cáo của mình, 1inch giải thích rằng khóa riêng của các địa chỉ được tạo trên Tục tĩu có thể được tính toán bằng các cuộc tấn công vũ phu. Nền tảng này tuyên bố rằng lỗ hổng bảo mật có thể đã cho phép tin tặc “bí mật” rút ruột hàng triệu đô la từ ví của người dùng tục tĩu trong những năm qua.

“Nhóm của 1 inch vẫn đang cố gắng xác định tất cả các địa chỉ trang đích đã bị tấn công”, nền tảng này cho biết thêm. “Đó không phải là một nhiệm vụ đơn giản, nhưng tại thời điểm này, có vẻ như hàng chục triệu đô la tiền điện tử có thể bị đánh cắp, nếu không muốn nói là hàng trăm triệu. May mắn thay, bằng chứng về các vụ hack luôn có trên mạng ”.

Nhà phát triển ngôn từ tục tĩu: Không sử dụng công cụ này

Nhà phát triển ẩn danh Profanity, người có biệt danh ‘johguse’ trên Github, nói rằng họ đã “bỏ rơi” dự án vài năm trước sau khi phát hiện ra “các vấn đề bảo mật cơ bản trong quá trình tạo khóa riêng tư”. “.

“Tôi thực sự khuyên bạn không nên sử dụng công cụ này trong tình trạng hiện tại của nó. Mã sẽ không nhận được bất kỳ bản cập nhật nào và tôi đã để nó không thể thay đổi được. Sử dụng thứ khác, ”nhà phát triển nói thêm.

Ethereum sử dụng kết hợp các khóa công khai và riêng tư để tạo địa chỉ ví – một danh sách dài các ký tự chữ và số ngẫu nhiên. Những người có khóa riêng của một địa chỉ có thể cho phép chuyển tiền từ tài khoản này sang tài khoản khác.

Tuy nhiên, địa chỉ “ảo” được tạo hơi khác một chút. 1 inch nêu chi tiết rằng tục tĩu, một công cụ phổ biến và “hiệu quả cao”, cho phép người dùng tạo hàng triệu địa chỉ mỗi giây và tìm kiếm các chuỗi chữ cái và số được người dùng yêu cầu cho địa chỉ ví riêng. .

1inch chỉ ra rằng phương pháp được sử dụng bởi Tục tĩu để tạo địa chỉ là không hiệu quả và các khóa công khai từ các địa chỉ hư không có thể bị phát hiện bởi các cuộc tấn công vũ phu.

“Một vài ngày trước, nhóm 1inch đã hoàn thiện mã bằng chứng khái niệm, cho phép họ khôi phục khóa cá nhân từ bất kỳ địa chỉ hư ảo nào được tạo bằng Tục tĩu gần giống với thời điểm bắt buộc phải tạo địa chỉ. chỉ vậy thôi, ”nền tảng giải thích.

Bạn nghĩ gì về thông tin trên? Hãy chia sẻ suy nghĩ của bạn trong nhóm Telegram của chúng tôi.

Tất cả thông tin có trên trang web của chúng tôi được công bố với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào mà độc giả thực hiện liên quan đến thông tin tìm thấy trên trang web của chúng tôi nên được đánh giá lại và tự chịu rủi ro.

Thanh Thuy

Leave a Reply

Your email address will not be published.