Vanity Addresses são originados de chaves privadas frágeis e que podem ser quebradas criptograficamente por “força bruta”. Um hacker se aproveitou dessa fragilidade para roubar US $3,3 milhões de endereços personalizados.
Um hacker drenou US $3,3 milhões de vários endereços Ethereum gerados com uma ferramenta chamada Profanity, de acordo com dados on-chain da Etherscan.
O analista de segurança @ZachXBT foi quem primeiro reportou o exploit, que ocorreu na sexta-feira (16 de setembro).
Endereços personalizados ou “Vanity Addresses” são um tipo de carteira personalizada que contém nomes ou números identificáveis. Vanity se traduz como “vaidade”, sendo uma funcionalidade sem uso prático, muitas vezes utilizados por, literalmente, pura vaidade do dono da carteira. Esses endereços podem ser criados usando certas ferramentas, sendo uma delas o Profanity.
Na semana passada, a plataforma descentralizada 1inch publicou um relatório de segurança alegando que “vanity addresses” gerados com Profanity não eram seguros. De acordo com 1inch, as chaves privadas vinculadas aos endereços gerados pelo Profanity podem ser extraídas com cálculos de força bruta.
Isso ocorre porque a segurança na criptografia dos endereços está diretamente relacionada na aleatoriedade dos caracteres que compõem a chave privada. Para conseguir um “endereço personalizado”, o que ferramentas como a Profanity fazem é um tipo de “força bruta”, que procura chaves privadas com combinações específicas.
Se a Profanity consegue encontrar estas combinações, significa que outras pessoas também poderiam conseguir o mesmo. Ganhando acesso aos fundos do endereço “vanity”. É por isso que estes endereços devem ser utilizados apenas como meio transitório para receber transações e reenviar imediatamente para outro endereço mais seguro, para armazenar no longo prazo.
Mesmo antes do relatório da 1inch, johguse já havia reconhecido a vulnerabilidade na ferramenta e alertado os usuários contra seu uso. Em uma investigação subsequente, o detetive ZachXBT alegou que um hacker desconhecido aparentemente explorou a mesma vulnerabilidade para drenar cerca de US $3,3 milhões em criptoativos de vários endereços criados com Profanity logo após o relatório da 1inch. Os fundos roubados foram movidos dos endereços das vítimas para um novo endereço Ethereum.
Leia mais:
