Theo dữ liệu trên on-chain của Etherscan, một hacker đã đánh cắp 3,3 triệu USD từ nhiều địa chỉ Ethereum được tạo ra bằng một công cụ có tên là Profanity.
Được biết, một nhà phân tích bảo mật ẩn danh có tên ZachXBT lần đầu tiên để ý tới vụ tấn công, diễn ra vào ngày 16 tháng 9.
Địa chỉ ảo là một loại ví tùy chỉnh có chứa tên hoặc số có thể nhận dạng bên trong chúng. Chúng được sử dụng trong lĩnh vực tiền điện tử chủ yếu để thể hiện như cách mà các tài xế ô tô trả tiền chênh lệch cho các biển số đắt tiền. Những địa chỉ này có thể được tạo bằng cách sử dụng một số công cụ nhất định, một trong số đó là Profanity.
Tuần trước, 1inch đã đưa ra một báo cáo tiết lộ một báo cáo về bảo mật tuyên bố rằng “các địa chỉ ảo” được tạo bằng công cụ Profanity là không an toàn. Theo 1 inch, các private key được liên kết với các địa chỉ được tạo ra bằng ngôn từ Profanity có thể được trích xuất theo các phép tính toán.
Tuy nhiên, vấn đề này đã không thể được khắc phục kịp thời để ngăn chặn vụ tấn công. Theo nhà phát triển ẩn danh “johguse”, việc phát triển công cụ Profanity đã dừng cách đây vài năm.
Ngay cả trước báo cáo của 1inch, johguse đã nhận ra lỗ hổng trong công cụ và cảnh báo người dùng về việc sử dụng nó. Trong một cuộc điều tra sau đó vào thứ sáu tuần trước, công ty quản lý trực tuyến ZachXBT tuyên bố rằng một hacker ẩn danh dường như đã khai thác cùng một lỗ hổng để rút đi ước tính 3,3 triệu USD tài sản tiền điện tử từ các địa chỉ được tạo ra từ Profanity ngay sau báo cáo của 1inch. Được biết, số tiền bị đánh cắp được chuyển từ địa chỉ của nạn nhân sang địa chỉ Ethereum mới được cho là do hacker kiểm soát
Vụ tấn công gây thiệt hại 3,3 triệu USD đã thu hút nhiều bình luận từ các chuyên gia khi họ nghi ngờ rằng các hacker có thể đã biết trước về vấn đề bảo mật của Profanity.
“Có vẻ như những kẻ tấn công đã biết trước về lỗ hổng bảo mật này, khi họ cố gắng tìm càng nhiều private key hết sức có thể của các địa chỉ được tạo ra từ Profanity trước khi lỗ hổng được biết đến. Sau khi bị phanh phui lỗ hổng bảo mật từ 1inch, những kẻ tấn công đã rút tiền ra mặt trong vài phút từ nhiều địa chỉ ảo”, Tal Be’ery, giám đốc bảo mật và giám đốc công nghệ tại ZenGo, cho biết.
Đáng chú ý, 1inch cũng đã tuyên bố trong báo cáo của mình rằng lỗ hổng bảo mật trước đây đã được tin tặc sử dụng để khai thác các lỗ hổng tiềm năng trị giá hàng triệu đô la. Để đi đến kết luận của mình, 1inch tuyên bố rằng họ có thể tính toán lại một số private key của các địa chỉ được tạo ra từ Profanity bằng chip GPU.
“Chúng tôi có bằng chứng về khái niệm khôi phục private key từ khóa public key. Vì vậy, bạn có thể gửi cho chúng tôi một địa chỉ công khai được tạo qua Profanity và chúng tôi sẽ gửi lại cho bạn private key của tài khoản đó”, 1inch tuyên bố.
