L’agrégateur d’échange décentralisé 1inch Network a émis un avertissement aux investisseurs en cryptographie après avoir identifié une vulnérabilité dans Profanity, un outil de génération d’adresses personnalisées Ethereum (ETH). Malgré l’avertissement proactif, apparemment, les pirates ont pu s’emparer de 3,3 millions de dollars de crypto-monnaies.
Le 15 septembre, 1Inch a révélé le manque de sécurité dans l’utilisation de Profanity car il utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits. D’autres enquêtes ont souligné l’ambiguïté dans la création d’adresses personnalisées, suggérant que les portefeuilles Profanity ont été secrètement piratés. L’avertissement est venu sous la forme d’un tweet, comme indiqué ci-dessous.
COUREZ, IMPULS
⚠️ Spoiler : Votre argent n’est PAS SAFU si votre adresse de portefeuille a été générée avec l’outil Profanity. Transférez tous vos actifs vers un autre portefeuille dès que possible !
➡️ En savoir plus : https://t.co/oczK6tlEqG#Ethereum #crypto #vulnérabilité #1 pouce
– Réseau 1 pouce (@ 1 pouce) 15 septembre 2022
Une enquête ultérieure menée par l’enquêteur de la blockchain ZachXBT a montré qu’un exploit réussi de la vulnérabilité a permis aux pirates de drainer 3,3 millions de dollars en crypto.
Il semble que 3,3 millions de dollars de crypto ont été exploités par 0x6ae à partir de cette vulnérabilité.
Fait intéressant, Indexed Finance Exploiter a été la première adresse drainée par 0x6ae.
Adresse des attaquants :
0x6AE09AC63487FCf63117A6D6FAFa894473d47b93 https://t.co/gnQHHytI1m pic.twitter.com/5TYccNIpdq– ZachXBT (@zachxbt) 17 septembre 2022
De plus, ZachXBT a aidé un utilisateur à économiser plus de 1,2 million de dollars en jetons cryptographiques et non fongibles (NFT) après l’avoir alerté sur le pirate informatique qui avait accès au portefeuille de l’utilisateur. Suite à la révélation, de nombreux utilisateurs ont confirmé que leurs fonds étaient en sécurité, comme l’un déclaré:
« Wtf 6h après l’attaque, mes adresses étaient toujours vulnérables mais l’attaquant ne m’a pas vidé ? avait 55k à risque lol «
Cependant, les pirates ont tendance à attaquer les plus gros portefeuilles avant de passer aux portefeuilles de moindre valeur. Les utilisateurs possédant des adresses de portefeuille générées avec l’outil Profanity ont été invités à « transférer tous vos actifs vers un autre portefeuille dès que possible! » par 1 pouce.
Lié: Les forces de l’ordre récupèrent 30 millions de dollars du piratage de Ronin Bridge avec l’aide de Chainalysis
Alors que certains pirates préfèrent la méthode traditionnelle consistant à drainer les fonds des utilisateurs après avoir accédé illégalement aux portefeuilles cryptographiques, d’autres essaient de nouvelles façons de tromper les investisseurs pour qu’ils partagent leurs clés privées.
L’une des récentes escroqueries innovantes impliquait le piratage d’une chaîne YouTube pour la lecture de vidéos fabriquées d’Elon Musk discutant des crypto-monnaies. Le 3 septembre, la chaîne YouTube du gouvernement sud-coréen a été momentanément piratée et renommée pour le partage de diffusions en direct de vidéos liées à la cryptographie.
L’identifiant et le mot de passe compromis de la chaîne YouTube ont été identifiés comme la cause première du piratage.