Varios colaboradores de 1inch han descubierto recientemente una vulnerabilidad en Profanity. La herramienta de generación de direcciones de vanidad basada en Ethereum es uno de los nombres más populares de la red.

Normalmente, los usuarios de Ethereum crean carteras calculando un hash de una clave pública extraído de una clave privada aleatoria. Aunque las direcciones parecen aleatorias, generar más de ellas puede reducir su aleatoriedad.

La red está llena de herramientas que permiten a los usuarios crear millones de direcciones en un segundo. Profanity es una de esas herramientas que llamó la atención de los colaboradores de 1inch a principios de este año. Como la herramienta utilizaba un vector de 32 bits para crear claves privadas de 256 bits, se sospechaba que no era segura.

He aquí un rápido resumen del funcionamiento de Profanity:-

  1. Elija al azar una de las cuatro mil millones de claves privadas semilla
  2. Ampliarlos a dos millones de claves privadas
  3. Generar claves públicas a partir de las claves privadas
  4. Auméntelos repetidamente hasta alcanzar la dirección de vanidad deseada

Un grupo de desarrolladores de 1inch creyó que era posible volver a calcular cada dirección de vanidad resembrando los cuatro mil millones de vectores iniciales. El proceso necesitó meses y miles de GPU para calcular las direcciones de 6-7 caracteres.

Hace dos meses, uno de los colaboradores de 1inch recibió un mensaje sobre una actividad sospechosa en las carteras de los desplegadores de 1inch. Se confirmó que al menos cinco desplegadores de diferentes proyectos habían ganado la misma entrega aérea.

Sospechosamente, los fondos también se transfirieron a un monedero. Esto suscitó la preocupación de un hackeo, y los desarrolladores de 1inch comenzaron a investigarlo. Su búsqueda terminó hace un par de semanas después de descubrir que es posible volver a las claves iniciales de la semilla de manera más eficiente que lo explicado anteriormente.

Así es como se puede hacer:-

  1. Elija una clave pública de la dirección de la vanidad
  2. Ampliarlo a dos millones de claves públicas
  3. Aumentarlas repetidamente antes de llegar a la clave pública semilla

Los colaboradores siguieron indagando y descubrieron que Profanity no desarrolló las direcciones de vanidad más ricas en varias redes. Esto significa que muchas de las carteras de Profanity fueron violadas en secreto.

El equipo está tratando de descifrar los monederos violados; sin embargo, es una tarea severamente desafiante. Una cosa sigue siendo cierta: más de decenas de millones de dólares en criptografía podrían haber sido ya robados. Lo único bueno de esto es que las pruebas de las violaciones están disponibles en la cadena.