Пользователи генератора Ethereum-адресов Profanity потеряли $3.3 млн в результате эксплойтаХакеры смогли украсть около $3.3 млн у пользователей сервиса Profanity, который позволял генерировать удобные Ethereum-адреса, содержащие различные слова или фразы (vanity-адреса). Об уязвимости также ранее предупреждала команда 1inch Network.
Инструмент Profanity был заброшен разработчиками несколько лет назад, однако сгенерированные адреса до сих пор использовались их владельцами. Опасность заключалась в том, что ключи к ним можно было подобрать обычным брутфорсом — сервис использовал 32-битный вектор для заполнения 256-битных закрытых кодеров. Таким образом, реализация атаки была лишь вопросом времени.
Исследователь под ником ZachXBT обнаружил подозрительное движение средств на кошельках и даже смог предотвратить кражу активов на сумму около $1.2 млн, предупредив владельца одного из атакованных кошельков.