Un pirate informatique exploite l'adresse de vanité de Profanity pour voler 950 $ en ETH – crypto.news


À peine une semaine après le piratage de Wintermute, 950 000 $ en Ether (ETH) ont été volés dans un portefeuille cryptographique grâce à un exploit « d’adresse personnalisée », selon des rapports du 26 septembre 2022.

Adresses de vanité générées par des grossièretés attaquées

Le 26 septembre, Peckshield, une société de sécurité blockchain, a tweeté qu’un pirate avait volé pour 950 000 $ d’Ether (ETH) dans un portefeuille de crypto-monnaie. Le piratage présentait de nombreuses similitudes avec la violation de 160 millions de dollars sur Wintermute la semaine dernière.

PeckShield dit que le pirate a volé 732 ETH dans un portefeuille de crypto-monnaie le 25 septembre et l’a mélangé avec d’autres fonds cryptographiques en utilisant le service de mélange cryptographique sanctionné, Tornado Cash. Les fonds ont ensuite été transférés avec succès dans le portefeuille crypto du mauvais acteur.

Un pirate informatique exploite l'adresse de vanité de Profanity pour voler 950 $ en ETH – crypto.news

Les experts ont révélé que le dernier braquage a réussi en raison d’une faiblesse dans le générateur d’adresses personnalisées, qui a été découverte pour la première fois sur GitHub en janvier 2022. Les vulnérabilités ont été rendues publiques en septembre lorsque l’agrégateur d’échange décentralisé, 1 pouce, a découvert des problèmes de sécurité fondamentaux avec l’outil Profanity..

Pour les non-initiés, l’outil Profanity est un générateur d’adresses de vanity wallet, comme cela a déjà été mentionné. Alors que la majorité des adresses de portefeuille Ethereum sont générées au hasard, ces adresses personnalisées sont créées avec un terme spécifique, comme le nom de quelqu’un, quelque part dans l’adresse.

Selon 1inch, de nombreuses adresses personnalisées générées par l’outil Profanity risquent de subir ces exploits qui nécessiteraient une attaque par force brute. Bien que l’exécution de cette attaque nécessiterait une énorme puissance de calcul, les pirates trouveraient toujours que l’exécution de ces attaques est un exercice enrichissant si une grande quantité de crypto est contenue dans le portefeuille.

Les cambriolages Crypto et DeFi continuent

Les failles de sécurité et les piratages sont devenus monnaie courante dans le secteur de la cryptographie, les protocoles DeFi étant les plus touchés jusqu’à présent. Il y a une semaine, des pirates ont volé 160 millions de dollars au fabricant de crypto-marché Wintermute. Il a été révélé plus tard que le piratage avait été rendu possible grâce à l’une des adresses de Wintermute ayant les propriétés d’une adresse personnalisée, qui pourrait être à l’origine de la vulnérabilité.

Apparemment, le problème semble s’aggraver encore. Selon les rapports, plus de 1,9 milliard de dollars de crypto ont été volés par des pirates informatiques en juillet 2022, ce qui est nettement plus que les 1,2 milliard de dollars volés à la même période en 2021.

Les développeurs d’Ethereum lancent la proposition de « bouton d’annulation »

La fréquence croissante des hacks cryptographiques en 2022 a conduit un groupe de chercheurs à formuler une nouvelle proposition pour deux nouvelles normes de jetons Ethereum : ERC20R et ERC721R. Les nouvelles normes de jetons proposées sont des extensions des normes ERC20 et ERC721 existantes et incluraient désormais la possibilité d’inverser les transactions malveillantes.

Les normes symboliques proposées combineraient un contrat symbolique et un contrat de gouvernance, ce dernier étant contrôlé par un système judiciaire décentralisé. Selon la proposition, les utilisateurs victimes d’un piratage pourraient faire une demande de gel au contrat intelligent de gouvernance avec des preuves à l’appui.

La demande de gel sera ensuite soumise à un panel de juges décentralisés, qui voteront ensuite pour décider s’il existe des preuves substantielles pour geler les fonds ou non.

Si la majorité des juges votent en faveur d’un gel, un procès sera ouvert. Pendant le procès, les deux parties (la victime et le pirate informatique) peuvent soumettre leurs preuves aux juges décentralisés, qui voteront à nouveau sur le résultat.

Bien que l’idée ait le potentiel de réduire le risque de failles de sécurité, de nombreux acteurs de l’espace crypto ont critiqué la proposition, affirmant que de telles initiatives vont à l’encontre des principes fondateurs de la technologie blockchain. Certains critiques ont également souligné que l’ajout d’une fonctionnalité de réversibilité aux contrats de jetons ERC20 pourrait rendre difficile leur intégration dans des applications décentralisées.