Es könnte weniger als 2 Monate dauern, eine Ethereum-Vanity-Adresse mit einem GPU-Mining-Rig zu hacken.
Die Ethereum-Gemeinschaft prüft die Art des kürzlich bekannt gegebenen 160-Millionen-Dollar-Hacks von Wintermute und ist auf einen möglichen Angriffsvektor gestoßen. Eine der Wintermute-Adressen hat die Eigenschaften einer Vanity-Adresse, die die Ursache für die Schwachstelle sein könnte.
Die Adresse von Wintermute hatte 7 führende 0’s
nach @k06a’s Schätzung, kann dies in 50 Tagen mit 1000 GPUs geknackt werden
der Angreifer war definitiv ein Profi pic.twitter.com/JNOQ3qdXiV
– tuba (@0xtuba) September 20, 2022
Vanity-Adressen werden kryptografisch erzeugt, indem ein bestimmtes Präfix oder Suffix einem Programm zugewiesen wird, das dann potenziell Millionen von Adressen generiert, bis es eine findet, die den angegebenen Bedingungen entspricht.
Ein solches Tool – Profanity – ist über GitHub verfügbar und hat seit einiger Zeit ernsthafte Sicherheitsbedenken. Laut der readme.md-Datei wird das Repository aufgrund „grundlegender Sicherheitsprobleme bei der Generierung privater Schlüssel“ aufgegeben.
Ein Blog-Post des 1inch-Teams ist im Markup enthalten, der mehrere potenzielle Sicherheitslücken im Code auflistet. Obwohl die Codebasis angeblich aktualisiert wurde, um „alle betroffenen Binärdateien“ zu entfernen, ist die Methodik möglicherweise in ihrem Kern fehlerhaft.
Nach Recherchen von k06a, einem Mitarbeiter von 1inch, konnte 0xtuba berechnen, dass es nur 50 Tage dauern könnte, eine Adresse mit sieben führenden 0en mit Hilfe von 1.000 GPUs zu erzwingen. In Anbetracht der jüngsten Umstellung von Ethereum auf Proof-of-Stake sind viele Miner derzeit auf der Suche nach einer Möglichkeit, ihre GPU-Power einzusetzen.
Das folgende Bild zeigt die geschätzte Zeit für die Generierung einer Ethereum-Adresse mit sieben führenden 0en mit einem RTX 3070TI GPU Home Gaming Computer.
Sollte sich dieser Angriffsvektor als praktikabel erweisen, besteht nun die Befürchtung, dass einige Miner zu bösartigen Mitteln greifen könnten, um sicherzustellen, dass ihre Farmen weiterhin Gewinne abwerfen.
Der 1inch-Blogbeitrag enthält die folgende Warnung:
„Notice: Ihr Geld ist NICHT SAFU, wenn Ihre Wallet-Adresse mit dem Profanity-Tool generiert wurde. Übertragen Sie Ihr gesamtes Vermögen so schnell wie möglich auf eine andere Wallet! „
Wir haben Wintermute um einen Kommentar zu der Methode gebeten, mit der die Adressen generiert wurden, aber wir haben nicht sofort eine Antwort erhalten.
Update Sept. 20, 3:40 PM BST: Das Krypto-Sicherheitsunternehmen Certik hat weitere Informationen veröffentlicht, die den Verdacht auf einen Exploit durch Profanity bestätigen
Hier ist, was wir bis jetzt über den @wintermute_t Exploit wissen
Wir haben festgestellt, dass 162.509.665 $ gestohlen wurden.
Der Exploit ist wahrscheinlich auf einen Brute-Force-Angriff auf die Profanity-Wallet zurückzuführen, bei dem ein privater Schlüssel kompromittiert wurde.
Bleiben Sie wachsam! pic.twitter.com/zVRd3e5TbS
– CertiK Alert (@CertiKAlert) September 20, 2022