イーサリアムのバニティアドレスが300万ドル以上流出
分散型取引所(DEX)アグリゲーター1inchの最新調査結果によると、vanity addresses(バニティアドレス)にリンクされた秘密鍵はブルートフォース攻撃で計算される可能性がある事が分かった。
ハッカーは、Profanityツールで生成されたいくつかのEthereumアドレスから330万ドル相当の暗号通貨を盗むことに成。1inchが、数百万ドルを危険にさらす深刻な脆弱性を発見したことをユーザーに警告した後も、資金は流出していた。
1inchセキュリティレポート
2022年初頭に1inchは、Profanityがランダムな32ビットベクトルを使用して256ビットの秘密鍵をシードし、安全ではないのではないかと疑っていたことを観察し、調査の結果、さらに疑わしいアクティビティが確認され、Profanity ウォレットが侵害されたことが示されており、次のように述べている。
1inchの寄稿者は、一般的なネットワークで最もリッチなバニティ アドレスをチェックし、そのほとんどがプロファニティ ツールによって作成されたものではないという結論に達しました。しかし、Profanity はその効率の高さから最も人気のあるツールの 1 つです。悲しいことに、これはプロファニティ ウォレットのほとんどが密かにハッキングされたことを意味するにすぎません。
Profanityは、ユーザーが毎秒数百万のアドレスを作成できる人気のある「非常に効率的な」ツールであるものの、Profanityがアドレスを生成するために使用する手順も完璧ではなく、攻撃を受けやすいものである。先週1inchが発行したセキュリティ開示レポートは、この脆弱性により、ハッカーがProfanityユーザーのウォレットから数百万ドルを“密かに”盗めた可能性があることも指摘されていた。貢献者は現在、侵害されたすべてのバニティ アドレスを特定しようとしている。
仮想通貨ウォレットアプリを提供するZenGoのセキュリティ責任者兼最高技術責任者であるタル・ベイリー(Tal Be’ery)氏によると、脆弱性が検出される前、悪意あるエンティティは、バグに悩まされたProfanityによって生成されたバニティアドレスのできるだけ多くの秘密鍵を手に入れようとしていた可能性がある。しかし、1inchで脆弱性が公表された後、彼らは現金化している。Githubで「johguse」という仮名で活動するProfanity開発者の1人は、数年前にプロジェクトを「放棄」したと述べており、次のように語っている。
このプロジェクトは数年前に放棄されました。秘密鍵の生成における基本的なセキュリティの問題に注意を向けました。このツールを現状のまま使用しないことを強くお勧めします。このリポジトリは、この重大な問題に関する追加情報ですぐにさらに更新されます。