Varios colaboradores de 1 pulgada descubrieron recientemente una vulnerabilidad en Profanity. La herramienta de generación de direcciones personalizadas basada en Ethereum es uno de los nombres más populares en la red.
Por lo general, los usuarios de Ethereum crean billeteras calculando un hash de una clave pública extraída de una clave privada aleatoria. Si bien las direcciones parecen aleatorias, generar más de ellas puede reducir su aleatoriedad.
La red está repleta de herramientas que permiten a los usuarios crear millones de direcciones en un segundo. Blasfemias es una de esas herramientas que llamó la atención de los contribuyentes de 1 pulgada a principios de este año. Dado que la herramienta utilizaba un vector de 32 bits para crear claves privadas de 256 bits, se sospechaba que no era segura.
Aquí hay una descripción general rápida de cómo funciona Profanity: -
- Elija aleatoriamente una de las cuatro mil millones de claves privadas semilla
- Ampliarlos a dos millones de claves privadas
- Generar claves públicas a partir de las claves privadas.
- Aumentarlos repetidamente hasta alcanzar la dirección de vanidad deseada
Un grupo de desarrolladores de 1 pulgada creía que era posible volver a calcular todas las direcciones personalizadas reiniciando los cuatro mil millones de vectores iniciales. El proceso necesitó meses y miles de GPU para calcular las direcciones de 6 a 7 caracteres.
Hace dos meses, uno de los contribuyentes de 1 pulgada recibió un mensaje sobre actividad sospechosa en las billeteras de implementación de 1 pulgada. Se confirmó que al menos cinco implementadores de diferentes proyectos ganaron el mismo lanzamiento aéreo.
Sospechosamente, los fondos también se transfirieron a una billetera. Esto generó preocupaciones sobre un hack, y los desarrolladores de 1 pulgada comenzaron a investigarlo. Su búsqueda terminó hace un par de semanas después de descubrir que es posible volver a las claves semilla iniciales de manera más eficiente que la explicada anteriormente.
Así es como se puede hacer: -
- Elija una clave pública de la dirección personal
- Expandirlo a dos millones de claves públicas
- Aumentarlos repetidamente antes de llegar a la clave pública semilla
Los colaboradores siguieron investigando y descubrieron que Profanity no desarrolló las direcciones de vanidad más ricas en varias redes. Significa que muchas de las billeteras de Profanity fueron violadas en secreto.
El equipo está tratando de descubrir las billeteras violadas; sin embargo, es una tarea severamente desafiante. Una cosa sigue siendo cierta: ya se podrían haber robado más de decenas de millones de dólares en criptomonedas. Lo único bueno de esto es que las pruebas de las infracciones están disponibles en la cadena.
