lundi, décembre 23, 2024

La vulnérabilité de l’outil de blasphème draine 3,3 millions de dollars malgré l’avertissement de 1 pouce

L’agrégateur d’échange décentralisé 1inch Network a émis un avertissement aux investisseurs en cryptographie après avoir identifié une vulnérabilité dans Profanity, un outil de génération d’adresses personnalisées Ethereum (ETH). Malgré l’avertissement proactif, apparemment, les pirates ont pu s’emparer de 3,3 millions de dollars de crypto-monnaies.

Le 15 septembre, 1Inch a révélé le manque de sécurité dans l’utilisation de Profanity car il utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits. D’autres enquêtes ont souligné l’ambiguïté dans la création d’adresses personnalisées, suggérant que les portefeuilles Profanity ont été secrètement piratés. L’avertissement est venu sous la forme d’un tweet, comme indiqué ci-dessous.

Une enquête ultérieure menée par l’enquêteur de la blockchain ZachXBT a montré qu’un exploit réussi de la vulnérabilité a permis aux pirates de drainer 3,3 millions de dollars en crypto.

De plus, ZachXBT a aidé un utilisateur à économiser plus de 1,2 million de dollars en jetons cryptographiques et non fongibles (NFT) après l’avoir alerté sur le pirate informatique qui avait accès au portefeuille de l’utilisateur. Suite à la révélation, de nombreux utilisateurs ont confirmé que leurs fonds étaient en sécurité, comme l’un déclaré:

« Wtf 6h après l’attaque, mes adresses étaient toujours vulnérables mais l’attaquant ne m’a pas vidé ? avait 55k à risque lol « 

Cependant, les pirates ont tendance à attaquer les plus gros portefeuilles avant de passer aux portefeuilles de moindre valeur. Les utilisateurs possédant des adresses de portefeuille générées avec l’outil Profanity ont été invités à « transférer tous vos actifs vers un autre portefeuille dès que possible! » par 1 pouce.

Lié: Les forces de l’ordre récupèrent 30 millions de dollars du piratage de Ronin Bridge avec l’aide de Chainalysis

Alors que certains pirates préfèrent la méthode traditionnelle consistant à drainer les fonds des utilisateurs après avoir accédé illégalement aux portefeuilles cryptographiques, d’autres essaient de nouvelles façons de tromper les investisseurs pour qu’ils partagent leurs clés privées.

L’une des récentes escroqueries innovantes impliquait le piratage d’une chaîne YouTube pour la lecture de vidéos fabriquées d’Elon Musk discutant des crypto-monnaies. Le 3 septembre, la chaîne YouTube du gouvernement sud-coréen a été momentanément piratée et renommée pour le partage de diffusions en direct de vidéos liées à la cryptographie.

L’identifiant et le mot de passe compromis de la chaîne YouTube ont été identifiés comme la cause première du piratage.