Llwyddodd haciwr i ddwyn gwerth $3.3 miliwn o arian cyfred digidol o sawl cyfeiriad Ethereum a gynhyrchwyd gyda'r offeryn “Profanity”. Cafodd yr arian ei ddraenio hyd yn oed ar ôl i'r agregwr cyfnewid datganoledig 1 modfedd rybuddio defnyddwyr am ddarganfod bregusrwydd difrifol gan roi miliynau o ddoleri mewn perygl.
Roedd wedi cynghori defnyddwyr a oedd yn berchen ar gyfeiriadau waled a gynhyrchwyd gyda'r offeryn Profanity i drosglwyddo eu hasedau i waled arall.
Adroddiad Diogelwch 1 fodfedd
Yn gynnar yn 2022, sylwodd cyfranwyr 1 fodfedd fod Profanity wedi defnyddio fector 32-did ar hap i hadu allweddi preifat 256-did ac roeddent yn amau y gallai fod yn anniogel. Ar ôl ymchwilio ymhellach, nodwyd gweithgarwch mwy amheus, sy'n arwydd bod waledi Profanity wedi'u peryglu.
“Gwiriodd y cyfranwyr 1 fodfedd y cyfeiriadau gwagedd cyfoethocaf ar rwydweithiau poblogaidd a daeth i’r casgliad nad oedd y rhan fwyaf ohonynt wedi’u creu gan yr offeryn Profanity. Ond Profanity yw un o'r offer mwyaf poblogaidd oherwydd ei effeithlonrwydd uchel. Yn anffodus, ni allai hynny ond golygu bod y rhan fwyaf o waledi Profanity wedi’u hacio’n gyfrinachol.”
Yn ôl 1inch, mae Profanity yn digwydd i fod yn offeryn poblogaidd a “hynod effeithlon” y gall defnyddwyr greu miliynau o gyfeiriadau yr eiliad ag ef. Fodd bynnag, nid oedd y weithdrefn a ddefnyddiwyd gan Profanity i gynhyrchu'r cyfeiriadau yn ddi-ffael ychwaith ac roedd yn agored i ymosodiadau.
Y datgeliad diogelwch adrodd a gyhoeddwyd gan 1inch yr wythnos diwethaf hefyd yn nodi y gallai’r bregusrwydd fod wedi galluogi hacwyr i ddwyn miliynau o ddoleri o waledi defnyddwyr Profanity yn “gyfrinachol” ers blynyddoedd. Mae'r cyfranwyr ar hyn o bryd yn ceisio pennu'r holl gyfeiriadau oferedd sydd dan fygythiad.
Yn fuan ar ôl y rhybudd, hysbysodd ymchwilydd blockchain ZachXBT yr ymosodiad gan ddraenio dros $ 3 miliwn mewn arian. Yn ffodus, ei tweet helpu defnyddiwr i arbed $1.2 miliwn mewn crypto a NFTs gan yr haciwr a oedd â mynediad i'w waled.
Profanity Devs Rhoi'r Gorau i Brosiect
Yn ôl Tal Be'ery, arweinydd diogelwch ZenGo a phrif swyddog technoleg, yr endidau maleisus gallai wedi bod yn “eistedd” ar y bregusrwydd mewn ymgais i gael eu dwylo ar gynifer o allweddi preifat â phosibl o gyfeiriadau oferedd a gynhyrchir gan chwilod cyn canfod y bregusrwydd. Fodd bynnag, fe wnaethant gyfnewid ar ôl iddo gael ei ddatgelu'n gyhoeddus gan 1 modfedd.
Yn y cyfamser, dywedodd un o ddatblygwyr Profanity, sy’n mynd wrth y ffugenw ‘johguse’ ar Github, eu bod eisoes wedi “gadael” y prosiect ychydig flynyddoedd yn ôl. Mae'r sylwadau am yr un darlleniad,
“Fe wnes i roi'r gorau i'r prosiect hwn ychydig o flynyddoedd yn ôl. Tynnwyd fy sylw at faterion diogelwch sylfaenol wrth gynhyrchu allweddi preifat. Rwy'n cynghori'n gryf i beidio â defnyddio'r offeryn hwn yn ei gyflwr presennol. Bydd yr ystorfa hon yn cael ei diweddaru ymhellach yn fuan gyda gwybodaeth ychwanegol am y mater hollbwysig hwn.”
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/ethereums-vanity-addresses-drained-of-over-3m-despite-1inchs-warning/