Злоумышленники украли около $3,3 млн в криптовалюте у пользователей Ethereum, которые генерировали адреса через инструмент Profanity. Ранее об уязвимости сервиса предупредила команда 1inch Network.
Some rug pulls of 2022 could be actually “profanity” exploits of their deployer wallets 👀 https://t.co/vdwdMX0g2I— Anton Bukov 🦇🔊 ⚖️ (@k06a) September 17, 2022
Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.
15 сентября команда 1inch предупредила сообщество, что ключи к таким адресам можно подобрать брутфорсом — систематическим перебором всех возможных комбинаций символов. Сервис использовал 32-битный вектор для заполнения 256-битных закрытых кодеров.
Тогда разработчики заявили, что уязвимость могла позволить украсть активы «на десятки, если не сотни миллионов долларов». Сооснователь 1inch Network Антон Буков отметил, что с ней могли быть связаны некоторые из зафиксированных в 2022 году схем rug pull.
На кражу средств обратил внимание исследователь под ником ZachXBT. Он также предупредил одного из пользователей, что хакеры получили доступ к его кошельку, и помог спасти NFT и токены на сумму свыше $1,2 млн.
Update: Earlier I noticed the 0x6ae attacker hadn’t fully drained one of the wallets they interacted with.Am pleased to share I helped alert the owner saving their $1.2m+ worth of crypto & NFTs (they’ve since moved everything) 0xDA0Da0Da0Da0a77740bB62c5c9D45423533d0CE2 pic.twitter.com/zP9LaovCv8— ZachXBT (@zachxbt) September 17, 2022
Напомним, в сентябре 2022 года Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.