Se puede tardar menos de 2 meses en hackear por fuerza bruta una dirección de vanidad de Ethereum utilizando un equipo de minería GPU.
La comunidad de Ethereum está revisando la naturaleza del recientemente anunciado hackeo de 160 millones de dólares de Wintermute y ha dado con un potencial vector de ataque. Una de las direcciones de Wintermute tiene las propiedades de una dirección de vanidad que podría ser la raíz de la vulnerabilidad.
la dirección de Wintermute tenía 7 ceros a la izquierda
de acuerdo con la estimación de @k06a, puede brutear esto en 50 días usando 1000 GPUs
el atacante era definitivamente un profesional pic.twitter.com/JNOQ3qdXiV
– tuba (@0xtuba) September 2022
Las direcciones de vanidad se generan criptográficamente asignando un prefijo o sufijo específico a un programa que luego genera potencialmente millones de direcciones hasta que encuentra una que coincida con las condiciones especificadas.
Una de estas herramientas -Profanity- está disponible a través de GitHub y desde hace algún tiempo presenta graves problemas de seguridad. El repositorio está abandonado debido a «problemas de seguridad fundamentales en la generación de claves privadas», según el archivo readme.md.
En el marcado se incluye una publicación del blog del equipo de 1inch, que enumera varias vulnerabilidades potenciales en el código. Aunque el código base ha sido supuestamente actualizado para eliminar «todos los binarios afectados», la metodología puede ser defectuosa en su núcleo.
Según la investigación de k06a, un colaborador de 1inch, 0xtuba fue capaz de calcular que sólo se necesitan 50 días para forzar una dirección con siete ceros iniciales utilizando 1.000 GPU. Dado el reciente paso de Ethereum al proof-of-stake, muchos mineros están buscando un lugar donde aplicar su potencia de GPU.
La imagen de abajo muestra el tiempo estimado para generar una dirección de Ethereum con siete 0s iniciales utilizando un ordenador de juegos doméstico con GPU RTX 3070TI.
Fuente: Vanity ETH
Si se confirma que este vector de ataque es viable, se teme que algunos mineros opten por recurrir a medios maliciosos para asegurarse de que sus granjas sigan dando beneficios.
La publicación del blog de 1inch contiene la siguiente advertencia:
«Aviso: Su dinero NO es SAFU si la dirección de su cartera fue generada con la herramienta Profanity. Transfiera todos sus activos a un monedero diferente lo antes posible. «
Nos pusimos en contacto con Wintermute para que comentara el método utilizado para generar las direcciones, pero no hemos recibido una respuesta inmediata.
Actualización 20 de septiembre, 3:40 PM BST: La empresa de cripto seguridad Certik ha publicado información adicional que confirma las sospechas de un exploit a través de Profanity.
Esto es lo que sabemos hasta ahora del exploit @wintermute_t
Hemos registrado que se han robado 162.509.665 dólares.
El exploit se debe probablemente a un ataque de fuerza bruta a la cartera Profanity comprometiendo una clave privada.
¡Permanezcan atentos! pic.twitter.com/zVRd3e5TbS
– CertiK Alert (@CertiKAlert) September 2022
