Ychydig wythnos ar ôl hac Wintermute, mae $950,000 mewn Ether (ETH) wedi’i ddwyn o waled crypto trwy ecsbloetio “cyfeiriad gwagedd”, yn ôl adroddiadau ar Fedi 26, 2022.
Anerchiadau Gwagedd a Gynhyrchwyd Gan Ddidwylledd Dan Ymosodiad
Ar 26 Medi, Peckshield, cwmni diogelwch blockchain tweetio bod haciwr wedi dwyn gwerth $950,000 o Ether (ETH) o waled arian cyfred digidol. Roedd gan yr hac lawer o debygrwydd i'r toriad $ 160 miliwn ar Wintermute yr wythnos diwethaf.
PeckShield dywed bod yr haciwr wedi dwyn 732 ETH o waled arian cyfred digidol ar Fedi 25 a'i gymysgu â chronfeydd crypto eraill gan ddefnyddio'r gwasanaeth crypto-gymysgu a ganiatawyd, Arian Tornado. Yna trosglwyddwyd yr arian yn llwyddiannus i waled crypto'r actor drwg.
Mae'r arbenigwyr wedi datgelu bod yr heist diweddaraf yn llwyddiannus oherwydd gwendid yn y generadur cyfeiriad gwagedd, a ddarganfuwyd gyntaf ar GitHub ym mis Ionawr 2022. Rhoddwyd cyhoeddusrwydd i'r gwendidau ym mis Medi pan ddarganfyddodd cydgrynwr cyfnewid datganoledig, 1inch faterion diogelwch sylfaenol gyda'r offeryn Profanity .
Ar gyfer y rhai anghyfarwydd, mae'r offeryn Profanity yn generadur cyfeiriad waled gwagedd, fel y crybwyllwyd eisoes. Er bod y mwyafrif o gyfeiriadau waled Ethereum yn cael eu cynhyrchu ar hap, mae'r cyfeiriadau gwagedd hyn yn cael eu creu gyda therm penodol, fel enw rhywun, rhywle o fewn y cyfeiriad.
Yn ôl 1 fodfedd, Mae llawer o gyfeiriadau oferedd a gynhyrchwyd gan yr offeryn Profanity mewn perygl o gyflawni'r campau hyn a fyddai'n gofyn am ymosodiad gan y 'n Ysgrublaidd. Er y byddai gweithredu'r ymosodiad hwn yn gofyn am lawer iawn o bŵer cyfrifiadurol, byddai hacwyr yn dal i weld bod cyflawni'r ymosodiadau hyn yn ymarfer gwerth chweil pe bai llawer iawn o crypto wedi'i gynnwys yn y waled.
Heists Crypto a DeFi Parhau
Mae toriadau diogelwch a haciau wedi dod yn rhemp yn y sector crypto, gyda Defi protocolau sy'n cael yr ergyd fwyaf hyd yn hyn. Wythnos yn ôl, fe wnaeth hacwyr ddwyn $ 160 miliwn gan wneuthurwr y farchnad crypto Wintermuute. Datgelwyd yn ddiweddarach bod y darnia wedi'i wneud yn bosibl oherwydd bod gan un o gyfeiriadau Wintermute briodweddau cyfeiriad gwagedd, a allai fod wrth wraidd y bregusrwydd.
Mae'n debyg bod y broblem yn mynd i waethygu fyth. Yn ôl adrodds, Mae dros $1.9 biliwn mewn crypto wedi’i ddwyn gan haciau seiberdroseddol ym mis Gorffennaf 2022, sy’n sylweddol fwy na’r $1.2 biliwn a gafodd ei ddwyn ar yr un ffrâm amser yn 2021.
Mae Ethereum Devs yn arnofio'r Cynnig “Botwm Dadwneud”.
Mae amlder cynyddol haciau crypto yn 2022 wedi arwain grŵp o ymchwilwyr i lunio cynnig newydd ar gyfer dwy safon tocyn Ethereum newydd: ERC20R ac ERC721R. Mae’r safonau tocyn newydd a gynigir yn estyniadau i’r ERC20 ac ERC721 presennol a byddent bellach yn cynnwys y gallu i wrthdroi trafodion maleisus.
Byddai'r safonau tocyn arfaethedig yn cyfuno contract tocyn a chontract llywodraethu lle mae'r olaf yn cael ei reoli gan system farnwriaeth ddatganoledig. Yn ôl y cynnig, gallai Defnyddwyr sy'n ddioddefwyr darnia wneud cais rhewi i'r contract smart llywodraethu gyda thystiolaeth gefnogol.
Bydd y cais i rewi wedyn yn cael ei dendro i banel o farnwyr datganoledig, a fydd wedyn yn pleidleisio i benderfynu a oes tystiolaeth sylweddol i rewi’r arian neu fel arall.
Os bydd mwyafrif y barnwyr yn pleidleisio o blaid rhewi yna bydd treial yn cael ei gychwyn. Yn ystod y treial, gall y ddau barti (y dioddefwr a'r haciwr) gyflwyno eu tystiolaeth i'r barnwyr datganoledig, a fydd yn pleidleisio eto ar y canlyniad.
Er bod gan y syniad y potensial i leihau'r risg o dorri diogelwch, mae llawer yn y gofod crypto wedi beirniadu'r cynnig, gan ddweud bod mentrau o'r fath yn mynd yn groes i egwyddorion sylfaenol technoleg blockchain. Tynnodd rhai beirniaid sylw hefyd y gallai ychwanegu nodwedd gildroadwyaeth at gontractau tocyn ERC20 ei gwneud yn heriol eu hintegreiddio i gymwysiadau datganoledig.
Ffynhonnell: https://crypto.news/hacker-exploits-profanitys-vanity-address-to-steal-950-in-eth/