lundi, décembre 23, 2024

Près d’un million de dollars en crypto volés à partir d’un exploit d’adresse personnalisée

Les piratages et les exploits continuent de tourmenter le secteur de la finance décentralisée (DeFi) alors qu’une autre adresse de vanity wallet rejoint la liste des victimes de DeFi, qui, collectivement, ont perdu plus de 1,6 milliard de dollars en 2022.

Dans une alerte publiée par la société de sécurité blockchain PeckShield, un pirate a été détecté après avoir volé 732 Ether (ETH), environ 950 000 $, à partir d’une adresse créée sur le générateur d’adresses de portefeuille Ethereum appelé Profanity. Après avoir vidé le portefeuille, les exploiteurs ont envoyé la crypto au mélangeur crypto récemment sanctionné Tornado Cash.

Les adresses personnalisées sont des adresses de portefeuille crypto personnalisées qui sont générées pour inclure des mots ou des caractères spécifiques choisis par le propriétaire. Cependant, comme l’ont souligné de récents exploits, la sécurité des adresses personnalisées reste discutable.

Plus tôt en septembre, l’échange décentralisé (DEX) 1inch Network a averti les membres de la communauté que leurs adresses n’étaient pas sûres si elles étaient générées à l’aide de Profanity. Le DEX a appelé les détenteurs de crypto avec des adresses personnalisées à transférer leurs actifs immédiatement. Selon 1inch, le générateur d’adresses personnalisées a utilisé un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits, ce qui signifie qu’il manque de sécurité.

Suite aux avertissements du DEX, ZachXBT, un enquêteur de la blockchain, a annoncé qu’un exploit de la vulnérabilité de Profanity avait déjà permis à certains pirates de s’en tirer avec 3,3 millions de dollars d’actifs numériques.

Lié: Chapeau blanc : j’ai rendu la plupart des fonds nomades volés et tout ce que j’ai obtenu, c’est ce stupide NFT

Le 20 septembre, le créateur de marché de la cryptographie basé au Royaume-Uni a subi un exploit qui a entraîné des pertes de 160 millions de dollars. Selon le chercheur Ajay Dhingra, l’exploit pourrait être dû au fait que le portefeuille chaud de l’entreprise a été compromis et a manipulé un bogue dans le contrat intelligent. Evgeny Gaevoy, fondateur et PDG de l’entreprise, a appelé les attaquants à entrer en contact car ils sont disposés à traiter l’exploit comme un piratage de chapeau blanc.