Un hacker robó $3.3 millones de las “vanity adresses” de Ethereum

EN RESUMEN
  • El hackeo ocurrió debido a una falla de seguridad de la herramienta Profanity, que facilita la creación de las "vanity adresses".
  • Según el equipo de 1inch, las claves privadas vinculadas a las direcciones generadas por Profanity podrían extraerse con cálculos de fuerza bruta.
  • El desarrollo de Profanity se encuentra inactivo hace años.
  • promo

    Accede a más de 70 CFD de las principales cripto, sin comisiones y con spreads ínfimos Accede

Las vanity adresses son wallets cuya clave pública poseen caracteres legibles y deseados para su dueños. Por esto, podrían catalogarse como wallets personalizadas.

El 15 de septiembre de 2022, la cuenta de Twitter de 1inch, unos de los agregadores DeFi y exchanges descentralizados (DEX) más reconocidos del ecosistema, informó que los activos de las wallets generadas con la herramienta Profanity, ya no eran seguros.

En su tuit, compartieron una publicación de su Medium, en el que explican que a principios de 2022, se dieron cuenta de que Profanity utilizaba un vector aleatorio de 32 bits para sembrar claves privadas de 256 bits. Y que, por esto, sospecharon que podía ser inseguro.

“Inicialmente, los colaboradores de 1inch pensaron que era posible volver a calcular todas las direcciones de vanidad resemantizando los 4 bln de vectores iniciales. Habría requerido miles de GPUs y meses de tiempo para recalcular todas las vanity adresses de 6-7 caracteres”.

Por lo tanto, esto indicaría que el atacante conocía la falla de seguridad mucho antes de concretarse el robo de 3.3 millones de dólares. Un día más tarde del anuncio de 1Inch, el usuario de Twitter ZachXBT consiguió identificar la dirección del atacante.

La vulerabilidad de las vanity adresses

A pesar de que no consiguieron detener totalmente el ataque, varios usuarios que leyeron la advertencia de 1inch consiguieron asegurar su dinero en criptomonedas. Por su parte, el equipo del DEX plantea que, al menos, las pruebas de los hacks quedarán disponibles on-chain para siempre. Tal Be’ery, Jefe de seguridad y Director de tecnología de ZenGo, comentó:

“Parece que los atacantes estaban trabajando con esta vulnerabilidad, trataron de encontrar el mayor número posible de claves privadas de vanity adresses vulnerables generadas por Profanity antes de que se conozca la vulnerabilidad. Una vez expuesta públicamente por 1inch, los atacantes cobraron en pocos minutos de múltiples vanity adresses”.

Vanity adresses hack

Con este nuevo hackeo, se refuerza la idea de que al crear una wallet de este tipo, lo ideal es hacerlo en un entorno donde el usuario tiene el completo control de las claves privadas. Y que, además, las hardware wallets tienden a ser más seguras.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica con buena fe y sólo con fines de información general. Cualquier acción que el lector tome sobre la información encontrada en nuestro sitio web es estrictamente bajo su propio riesgo.