1Inch พบช่องโหว่ด้านความปลอดภัยใน Ethereum Vanity Address Tool

ผู้รวบรวมแพลตฟอร์มคริปโตแบบกระจายอํานาจ 1inch อ้างว่าเมื่อวันที่ 15 กันยายน 2022 ตนได้ค้นพบช่องโหว่ที่รุนแรงในเครื่องมือสร้าง Ethereum vanity address ซึ่งมีชื่อว่า Profanity ช่องโหว่ข้างต้นนี้มีศักยภาพที่จะทําให้เงินของผู้ใช้งานหลายล้านดอลลาร์สหรัฐตกอยู่ในความเสี่ยง

Anton Bukov ผู้ก่อตั้งและซีอีโอของ 1inch เตือนผู้ใช้งาน Ethereum ในโพสต์บน Twitter ว่า “เงินไม่ใช่ Safu” ซึ่งเป็นศัพท์แสงคริปโตที่ใช้เพื่อแสดงว่าเงินของผู้ใช้งานมีความเสี่ยงที่จะสูญเสียหลังจากการแฮ็กหรือการเอาเปรียบ

⚠️ Attention, Ethereans! Funds are not SAFU! Beware of using vanity addresses generated by the “profanity” tool! Moreover, check the ownership of your deployer wallets of vanity contracts. https://t.co/5D9obk2tP9

— Anton Bukov 🦇🔊 ⚖️ (@k06a) September 15, 2022

“โอนทรัพย์สินทั้งหมดของคุณไปยังวอลเล็ตอื่นโดยเร็วที่สุด” 1inch Network กล่าวในภายหลังในรายงานความปลอดภัย “หากคุณใช้ Profanity เพื่อรับ Vanity Smart Contract Address อย่าลืมเปลี่ยนเจ้าของสัญญาอัจฉริยะนั้นด้วย”

เงินหลายร้อยล้านดอลลาร์สหรัฐที่เผชิญความเสี่ยง

Profanity เป็นเครื่องมือที่ช่วยให้ผู้ใช้งาน Ethereum สามารถสร้าง “Vanity Address” ซึ่งเป็นวอลเล็ตดิจิทัลแบบกําหนดเองประเภทหนึ่งที่มีชื่อหรือตัวเลขที่เป็นที่รู้จักอยู่ภายใน เครื่องมือยอดนิยมรายนี้เปิดตัวในปี 2017

ในรายงานดักล่าว 1inch อธิบายว่าคีย์ส่วนตัวที่นำไปยังที่อยู่ที่สร้างขึ้นบน Profanity สามารถคํานวณได้โดยใช้การโจมตีด้วยความรุนแรง โดยอ้างว่าช่องโหว่ดังกล่าวอาจทําให้แฮกเกอร์สามารถ “แอบ” ลักลอบนำเงินหลายล้านดอลลาร์สหรัฐจากวอลเล็ตของผู้ใช้งาน Profanity มาหลายปีแล้ว

“ผู้สนับสนุน 1Inch ยังคงพยายามระบุ Vanity Address ทั้งหมดที่ถูกแฮ็ก” รายงานกล่าวพร้อมเสริมว่า

“มันไม่ใช่เรื่องง่าย แต่ ณ จุดนี้ดูเหมือนว่าเงินดิจิทัลหลายสิบล้านดอลลาร์สหรัฐอาจถูกขโมย ไม่อย่างนั้นก็หลายร้อยล้าน ปัจจัยหนึ่งที่ดีคือหลักฐานการแฮ็กจะค้างอยู่ในห่วงโซ่ตลอดไป”

นักพัฒนา Profanity ย้ำว่าอย่าใช้เครื่องมือนี้

นักพัฒนา Profanity นิรนาม ซึ่งใช้ชื่อเล่นว่า ‘johguse’ บน Github กล่าวว่าพวกเขา “ละทิ้ง” โครงการดังกล่าวเมื่อไม่กี่ปีที่ผ่านมาหลังจากค้นพบเกี่ยวกับ “ปัญหาด้านความปลอดภัยขั้นพื้นฐานในการสร้างคีย์ส่วนตัว”

“ฉันขอแนะนําอย่างยิ่งไม่ให้ใช้เครื่องมือนี้ในสถานการณ์ปัจจุบัน รหัสจะไม่ได้รับการอัปเดตใด ๆ และฉันได้ทิ้งมันไว้ในสถานะที่ไม่สามารถคอมไพล์ได้ ใช้อย่างอื่นเถอะ” นักพัฒนาคนดังกล่าวเอ่ยเสริม

Ethereum ใช้คีย์สาธารณะและคีย์ส่วนตัวร่วมกันเพื่อสร้างที่อยู่วอลเล็ต ซึ่งเป็นรายการอักขระที่เป็นตัวอักษรและตัวเลขแบบสุ่มจํานวนมาก ผู้ที่มีคีย์ส่วนตัวเพื่อเข้าถึงที่อยู่สามารถอนุญาตให้โอนเงินจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่งเพื่อพิสูจน์ว่าพวกเขาเป็นเจ้าของเงินจริง

อย่างไรก็ตาม Vanity Address ถูกสร้างขึ้นด้วยวิธีการที่ค่อนข้างแตกต่างกัน กล่าวคือ 1INCH ให้รายละเอียดว่า Profanity ซึ่งเป็นเครื่องมือยอดนิยมและ “มีประสิทธิภาพสูง” ช่วยให้ผู้ใช้งานสามารถสร้างที่อยู่นับล้านรายการต่อวินาทีและค้นหาชุดตัวอักษรและตัวเลขที่ผู้ใช้งานร้องขอสําหรับที่อยู่วอลเล็ตตามความต้องการ

1inch กล่าวว่าวิธีการที่ใช้โดย Profanity ในการสร้าง Address นั้นไม่สามารถจะเข้าใจผิดได้และคีย์สาธารณะจาก Vanity Address สามารถคํานวณได้ด้วยการโจมตีอันรุนแรง

“ไม่กี่วันที่ผ่านมา ผู้ร่วมให้ข้อมูลกับ 1Inch ประสบความสำเร็จในการได้รับรหัส Proof-of-concept ที่ช่วยให้พวกเขาสามารถกู้คืนคีย์ส่วนตัวจากVanity Address ใด ๆ ที่สร้างขึ้นด้วย Profanity ได้เกือบจะภายในเวลาเดียวกันซึ่งจําเป็นในการใช้สร้าง Vanity Address”