Las vanity adresses son wallets cuya clave pública poseen caracteres legibles y deseados para su dueños. Por esto, podrían catalogarse como wallets personalizadas.
El 15 de septiembre de 2022, la cuenta de Twitter de 1inch, unos de los agregadores DeFi y exchanges descentralizados más reconocidos del ecosistema, informó que los activos de las wallets generadas con la herramienta Profanity, ya no eran seguros.
En su tuit, compartieron una publicación de su Medium, en el que explican que a principios de 2022, se dieron cuenta de que Profanity utilizaba un vector aleatorio de 32 bits para sembrar claves privadas de 256 bits. Y que, por esto, sospecharon que podía ser inseguro.
“Inicialmente, los colaboradores de 1inch pensaron que era posible volver a calcular todas las direcciones de vanidad resemantizando los 4 bln de vectores iniciales. Habría requerido miles de GPUs y meses de tiempo para recalcular todas las vanity adresses de 6-7 caracteres”.
Por lo tanto, esto indicaría que el atacante conocía la falla de seguridad mucho antes de concretarse el robo de 3.3 millones de dólares. Un día más tarde del anuncio de 1Inch, el usuario de Twitter ZachXBT consiguió identificar la dirección del atacante.
La vulerabilidad de las vanity adresses
A pesar de que no consiguieron detener totalmente el ataque, varios usuarios que leyeron la advertencia de 1inch consiguieron asegurar su dinero en criptomonedas. Por su parte, el equipo del DEX plantea que, al menos, las pruebas de los hacks quedarán disponibles on-chain para siempre. Tal Be’ery, Jefe de seguridad y Director de tecnología de ZenGo, comentó:
“Parece que los atacantes estaban trabajaron con esta vulnerabilidad, tratando de encontrar el mayor número posible de claves privadas de vanity adresses vulnerables generadas por Profanity antes de que se conozca la vulnerabilidad. Una vez expuesta públicamente por 1inch, los atacantes cobraron en pocos minutos de múltiples vanity adresses”.
Con este nuevo hackeo, se refuerza la idea de que al crear una wallet de este tipo, lo ideal es hacerlo en un entorno donde el usuario tiene el completo control de las claves privadas. Y que, además, las hardware wallets tienden a ser más seguras.