ผู้รวบรวมแพลตฟอร์มคริปโตแบบกระจายอํานาจ 1inch อ้างว่าเมื่อวันที่ 15 กันยายน 2022 ตนได้ค้นพบช่องโหว่ที่รุนแรงในเครื่องมือสร้าง Ethereum vanity address ซึ่งมีชื่อว่า Profanity ช่องโหว่ข้างต้นนี้มีศักยภาพที่จะทําให้เงินของผู้ใช้งานหลายล้านดอลลาร์สหรัฐตกอยู่ในความเสี่ยง
Anton Bukov ผู้ก่อตั้งและซีอีโอของ 1inch เตือนผู้ใช้งาน Ethereum ในโพสต์บน Twitter ว่า “เงินไม่ใช่ Safu” ซึ่งเป็นศัพท์แสงคริปโตที่ใช้เพื่อแสดงว่าเงินของผู้ใช้งานมีความเสี่ยงที่จะสูญเสียหลังจากการแฮ็กหรือการเอาเปรียบ
“โอนทรัพย์สินทั้งหมดของคุณไปยังวอลเล็ตอื่นโดยเร็วที่สุด” 1inch Network กล่าวในภายหลังในรายงานความปลอดภัย “หากคุณใช้ Profanity เพื่อรับ Vanity Smart Contract Address อย่าลืมเปลี่ยนเจ้าของสัญญาอัจฉริยะนั้นด้วย”
เงินหลายร้อยล้านดอลลาร์สหรัฐที่เผชิญความเสี่ยง
Profanity เป็นเครื่องมือที่ช่วยให้ผู้ใช้งาน Ethereum สามารถสร้าง “Vanity Address” ซึ่งเป็นวอลเล็ตดิจิทัลแบบกําหนดเองประเภทหนึ่งที่มีชื่อหรือตัวเลขที่เป็นที่รู้จักอยู่ภายใน เครื่องมือยอดนิยมรายนี้เปิดตัวในปี 2017
ในรายงานดักล่าว 1inch อธิบายว่าคีย์ส่วนตัวที่นำไปยังที่อยู่ที่สร้างขึ้นบน Profanity สามารถคํานวณได้โดยใช้การโจมตีด้วยความรุนแรง โดยอ้างว่าช่องโหว่ดังกล่าวอาจทําให้แฮกเกอร์สามารถ “แอบ” ลักลอบนำเงินหลายล้านดอลลาร์สหรัฐจากวอลเล็ตของผู้ใช้งาน Profanity มาหลายปีแล้ว
“ผู้สนับสนุน 1Inch ยังคงพยายามระบุ Vanity Address ทั้งหมดที่ถูกแฮ็ก” รายงานกล่าวพร้อมเสริมว่า
“มันไม่ใช่เรื่องง่าย แต่ ณ จุดนี้ดูเหมือนว่าเงินดิจิทัลหลายสิบล้านดอลลาร์สหรัฐอาจถูกขโมย ไม่อย่างนั้นก็หลายร้อยล้าน ปัจจัยหนึ่งที่ดีคือหลักฐานการแฮ็กจะค้างอยู่ในห่วงโซ่ตลอดไป”
นักพัฒนา Profanity ย้ำว่าอย่าใช้เครื่องมือนี้
นักพัฒนา Profanity นิรนาม ซึ่งใช้ชื่อเล่นว่า ‘johguse’ บน Github กล่าวว่าพวกเขา “ละทิ้ง” โครงการดังกล่าวเมื่อไม่กี่ปีที่ผ่านมาหลังจากค้นพบเกี่ยวกับ “ปัญหาด้านความปลอดภัยขั้นพื้นฐานในการสร้างคีย์ส่วนตัว”
“ฉันขอแนะนําอย่างยิ่งไม่ให้ใช้เครื่องมือนี้ในสถานการณ์ปัจจุบัน รหัสจะไม่ได้รับการอัปเดตใด ๆ และฉันได้ทิ้งมันไว้ในสถานะที่ไม่สามารถคอมไพล์ได้ ใช้อย่างอื่นเถอะ” นักพัฒนาคนดังกล่าวเอ่ยเสริม
Ethereum ใช้คีย์สาธารณะและคีย์ส่วนตัวร่วมกันเพื่อสร้างที่อยู่วอลเล็ต ซึ่งเป็นรายการอักขระที่เป็นตัวอักษรและตัวเลขแบบสุ่มจํานวนมาก ผู้ที่มีคีย์ส่วนตัวเพื่อเข้าถึงที่อยู่สามารถอนุญาตให้โอนเงินจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่งเพื่อพิสูจน์ว่าพวกเขาเป็นเจ้าของเงินจริง
อย่างไรก็ตาม Vanity Address ถูกสร้างขึ้นด้วยวิธีการที่ค่อนข้างแตกต่างกัน กล่าวคือ 1INCH ให้รายละเอียดว่า Profanity ซึ่งเป็นเครื่องมือยอดนิยมและ “มีประสิทธิภาพสูง” ช่วยให้ผู้ใช้งานสามารถสร้างที่อยู่นับล้านรายการต่อวินาทีและค้นหาชุดตัวอักษรและตัวเลขที่ผู้ใช้งานร้องขอสําหรับที่อยู่วอลเล็ตตามความต้องการ
1inch กล่าวว่าวิธีการที่ใช้โดย Profanity ในการสร้าง Address นั้นไม่สามารถจะเข้าใจผิดได้และคีย์สาธารณะจาก Vanity Address สามารถคํานวณได้ด้วยการโจมตีอันรุนแรง
“ไม่กี่วันที่ผ่านมา ผู้ร่วมให้ข้อมูลกับ 1Inch ประสบความสำเร็จในการได้รับรหัส Proof-of-concept ที่ช่วยให้พวกเขาสามารถกู้คืนคีย์ส่วนตัวจากVanity Address ใด ๆ ที่สร้างขึ้นด้วย Profanity ได้เกือบจะภายในเวลาเดียวกันซึ่งจําเป็นในการใช้สร้าง Vanity Address”
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ