Egy hacker 3,3 millió dollárt nyújt le egyedi Ethereum címekről

Egyedi Ethereum címek estek egy nagyszabású hackertámadás áldozatává, amely során 3,3 millió dollárt sikerült eltulajdonítania a tolvajnak. A személyre szabott címeket (vanity addresses) a Profanity névre keresztelt eszközzel hozták létre. A szolgáltatás a tőle elvárt eredményt biztosította is, azonban egy icipici hiba csúszott a gépezetbe.

A szóban forgó címek sajnálatos módon a Profanity hibájából sebezhetővé váltak, ami így lehetővé tette a hackerek számára, hogy privát kulcsokat kaparinthassanak meg.

A hackertámadást az Etherscan Ethereum-alapú blokkfelfedező által szolgáltatott adatokon keresztül tudták visszakövetni. A bűntettre először az anonim biztonsági elemző, ZachXBT figyelt fel szeptember 16-án.

Az egyedi Ethereum címek olyan személyre szabott tárcákat jelölnek, amelyek azonosítható neveket vagy számokat tartalmaznak. Tulajdonképpen mindössze arra szolgálnak a kriptoszektor berkein belül, hogy felvágjanak velük tulajdonosaik. Pont, mint az egyedileg előállított rendszámtáblák esetében is. Ezeket a címeket külön erre a célra hasznosított eszközökkel lehet előállítani, ilyen például a hírhedt Profanity is.

Megérik az egyedi Ethereum címek a kockázatokat?

A múlt hét folyamán a 1inch decentralizált tőzsdeaggregátor publikált egy biztonsági tájékoztatót, melyben azt ecsetelte, hogy a Profanity által generált egyéni címek nem megbízhatóak. Az információk szerint az eszköz által létrehozott címeket brute-force támadások -ergo az összes lehetséges variáció kipróbálása- során könnyűszerrel megszerezhetik az illetéktelen személyek.

Ezt a biztonsági hibát azonban időben lehetetlen lett volna kijavítania a szolgáltatás fejlesztőinek ahhoz, hogy elkerüljék a támadás beteljesülését. Ugyanis a Profanity-t illető fejlesztési munkák már évekkel ezelőtt befejeződtek egy anonim fejlesztő szerint s a közeljövőben nem is tervezik folytatni azokat.

Egyébként a névtelen fejlesztő, aki “johguse” név alatt fut, még a 1inch beszámolója előtt figyelmeztette a felhasználókat a biztonsági rés jelenlétére.

Az egyedi Ethereum címek lecsapolása viszont csak a tőzsdeaggregátor tájékoztatója után vette kezdetét. Feltételezések szerint a hacker már ezt megelőzően is tudott a sebezhetőségi tényezőről, a médiavisszhang pedig cselekvésre buzdította. A 3,3 millió dolláros összesített összeget a károsultak címeiről egy új Ethereum címre továbbította.

Sajnos nem ez az első eset, amikor egy rendszer sérülékenysége miatt veszélybe kerülnek a felhasználók eszközei. Nemrégiben az OpenSea NFT piacteret érte hackertámadás, a fejlesztők viszont azon nyomban megpróbálták orvosolni a problémát.