Um grupo de hackers conseguiu roubar o equivalente a mais de R$ 17 milhões em criptomoedas de usuários que geraram endereços Ethereum por meio da ferramenta Profanity.
A solução permite que os usuários gerem endereços Ethereum legíveis por humanos contendo palavras, nomes ou frases. Embora a ferramenta tenha parado de funcionar há vários anos, as carteiras criadas com ela ainda funcionam.
Ataque aos usuários da Profanity
Vale ressaltar que na última quinta-feira (15), o agregador de exchanges descentralizadas (DEX) 1inch revelou em um relatório a falta de segurança da solução.
De acordo com a equipe 1inch, a falha existia porque o serviço usou um vetor de 32 bits para preencher os criptografadores privados de 256 bits.
Eles, então, relataram que a vulnerabilidade poderia permitir o roubo de ativos digitais das pessoas que usaram a solução. Apesar do aviso da 1inch, os hackers conseguiram roubar milhões em cripto.
RUN, YOU FOOLSSpoiler: Your money is NOT SAFU if your wallet address was generated with the Profanity tool. Transfer all of your assets to a different wallet ASAP!
Read more: https://t.co/oczK6tlEqG#Ethereum #crypto #vulnerability #1inch
— 1inch Network (@1inch) September 15, 2022
“CORRA, SEUS TOLOS. Spoiler: O seu dinheiro NÃO está SAFU [seguro] se o endereço da sua carteira foi gerado com a ferramenta Profanity. Transfira todos os seus ativos para uma carteira diferente o mais rápido possível!”, tuitou a equipe.
Em seu blog, a 1inch disse que ainda está tentando determinar todos os endereços que foram alvos de hackers devido a essa falha.
“Não é uma tarefa simples, mas neste momento parece que dezenas de milhões de dólares em criptomoedas poderiam ser roubados, se não centenas de milhões”, disse a equipe.
Hack de US$ 3,3 milhões em criptomoedas
Em seguida, uma investigação da plataforma de blockchain ZachXBT mostrou que uma exploração bem-sucedida da falha permitiu que hackers drenassem os US$ 3,3 milhões em criptomoedas. Os hackers, então, moveram os fundos dos endereços das vítimas para um novo endereço Ethereum que está sob seu controle.
Além disso, o ZachXBT ajudou um usuário a não perder mais de US$ 1,2 milhão em tokens e em NFTs depois de alertá-lo que o hacker tinha acesso à sua carteira.
Tal Be’ery, líder de segurança e diretor de tecnologia da ZenGo, afirmou que parece que os invasores já sabiam dessa vulnerabilidade antes do ataque.
Assim, eles tentaram encontrar a chave privada do maior número possível de endereços privados vulneráveis gerados pela Profanity antes que a vulnerabilidade fosse descoberta. Depois de a 1inch relatar a falha, os hackers agiram e retiraram criptomoedas de vários endereços privados em poucos minutos.