Quem utilizou o gerador de endereços de carteira Profanity teve um grande susto na segunda-feira (26). De acordo com a PeckShield, um hacker conseguiu atacar vários endereços gerados por meio dessa ferramenta. Como resultado, o invasor conseguiu roubar 732 Ether (ETH) dos endereços.
Com base na cotação atual do ETH, o valor corresponde a cerca de R$ 5,5 milhões em valores atuais. É a segunda vez que um ataque desse tipo ocorre em endereços criados por esse gerador, o que mostra o risco de criar endereços nessas ferramentas.
Os geradores de endereços são programas que criam endereços de uma criptomoeda de forma aleatória, permitindo sua utilização. Em muitos casos, esses endereços criam endereços de carteiras frias, como paper wallets, e por isso os usuários os utilizam como forma de praticidade.
No entanto, os geradores de carteiras apresentam grandes riscos, sobretudo se a geração ocorre através de uma ferramenta centralizada. Um dos riscos é que as chaves privadas dos endereços fiquem armazenadas nos servidores e, portanto, hackers consigam roubá-las e acessar os fundos.
Hacker transferiu 732 ETH para o Tornado Cash
Conforme informou a PeckShield, os hackers executaram o ataque na noite da segunda-feira através de uma série de transações. No total, as operações movimentaram 732 ETH através do mixer Tornado Cash.
A PeckShield também confirmou o endereço da carteira (0x9731F…) envolvido na exploração do Profanity. Mesmo com as sanções dos Estados Unidos sobre o Tornado Cash, o hacker utilizou o mixer para enviar os fundos e ocultar sua origem.
As transações ocorreram de forma sucessiva e o hacker mandou quantidades diferentes em casa operação, de modo que nesta terça-feira (27), o endereço tinha apenas 0,05 ETH. Ou seja, o hacker moveu todos os fundos com sucesso.
O novo ataque ocorre cerca de uma semana após uma outra exploração ter causado perdas de US$ 3 milhões. Nesse sentido, o ataque também afetou endereços de ETH criados pela Profanity, o que indica uma possível falha de segurança na plataforma de geração.
Falha generalizada?
O ataque da semana passada já havia despertado alertas na comunidade, primeiramente do agregador de preços 1inch. Em 18 de setembro, a equipe destacou uma série de vulnerabilidades no Profanity e recomendou que os investidores transferissem seus fundos para outros lugares.
De acordo com a 1inch, a prática da Profanity de usar um vetor de 32 bits para gerar uma semente de 256 bits facilitam um ataque. A 1inch alerta que essa medida reduz a segurança das carteiras e aumenta as chances de um hacker conseguir invadi-las.
Endereços personalizados normalmente são endereços de carteira que contêm frases personalizadas escolhidas pelo usuário. Os usuários geram esses endereços usando uma ferramenta como Vanity-ETH e Profanity. Não obstante, parece que o Profanity tem um problema de vulnerabilidade.
Um dos desenvolvedores da Profanity aconselhou as pessoas a não usar a ferramenta, citando preocupações de segurança. Além disso, o recente ataque ao protocolo Wintermute, que perdeu R$ 800 milhões, pode ter a ver com o Profanity. Aparentemente, a exploração foi possível devido a um comprometimento da chave privada resultante de uma vulnerabilidade no gerador de endereços.