1 pulgada: una vulnerabilidad importante en Ethereum Vanity Address Tool arriesga millones de dólares

El agregador de intercambio descentralizado 1 pulgada afirmó el 15 de agosto que había descubierto una vulnerabilidad grave en la herramienta de generación de direcciones de vanidad de Ethereum, Profanity. Esto tiene el potencial de poner en riesgo millones de dólares en dinero de los usuarios.

El fundador y CEO de 1 pulgada, Anton Bukov, advirtió a los usuarios de Ethereum en un Pío que «los fondos no son Safu», la jerga criptográfica utilizada para expresar que los fondos de los usuarios corren el riesgo de perderse después de un ataque o una explotación.

«Transfiera todos sus activos a una billetera diferente lo antes posible», dijo más tarde 1inch Network en un titular reporte. «Si usó Blasfemias para obtener una dirección de contrato inteligente personalizada, asegúrese de cambiar los propietarios de ese contrato inteligente«.

Cientos de millones de dólares en riesgo

Blasfemia es una herramienta que permite a los usuarios de Ethereum crear «direcciones de vanidad», un tipo de billeteras criptográficas personalizadas que contienen nombres o números reconocibles dentro de ellas. La popular herramienta se lanzó en 2017.

En su informe, 1 pulgada explicó que las claves privadas de las direcciones generadas en Profanity podrían calcularse mediante ataques de fuerza bruta. Dijo que la vulnerabilidad puede haber permitido a los piratas informáticos robar «secretamente» millones de dólares de las billeteras de los usuarios de Profanity durante años.

«Los contribuyentes de 1 pulgada todavía están tratando de determinar todas las direcciones personalizadas que fueron pirateadas», dijo el equipo, y agregó:

“No es una tarea fácil, pero en este punto parece que se podrían robar decenas de millones de dólares en criptomonedas, si no cientos de millones. Lo bueno es que la evidencia del hackeo está disponible en la cadena para siempre».

Desarrollador de malas palabras: ¡no use esta herramienta!

Desarrollador vulgar anónimo, llamándose a sí mismo ‘johguse’ en Github, Ella dijo quien «abandonó» el proyecto hace unos años tras descubrir «problemas fundamentales de seguridad en la generación de claves privadas».

“Recomiendo enfáticamente no usar esta herramienta en su estado actual. El código no recibirá ninguna actualización y lo he dejado en un estado no rellenable. ¡Usa otra cosa!”, agregó el desarrollador.

Ethereum usa una combinación de claves públicas y privadas para generar direcciones de billetera, una larga lista de caracteres alfanuméricos aleatorios. Quienes tengan la clave privada de un domicilio pueden autorizar la transferencia de fondos de una cuenta a otra, acreditando que son los dueños del dinero.

Sin embargo, las direcciones mnemónicas se generan de forma un poco diferente. 1inch detalló que Profanity, una herramienta popular y «altamente eficiente», permitía a los usuarios crear millones de direcciones por segundo y buscaba esas cadenas de letras y números que los usuarios necesitaban para una dirección de billetera personalizada.

1inch afirmó que el método utilizado por Profanity para generar las direcciones no era infalible y que las claves públicas de las direcciones personalizadas podían calcularse con ataques de fuerza bruta.

«Hace unos días, los contribuyentes de 1 pulgada obtuvieron un código de prueba de concepto que les permite recuperar claves privadas de cualquier dirección de cortesía generada con Profanity casi al mismo tiempo que se necesitaba para generar esa dirección de cortesía», explicó.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.