Podobno wykorzystano błąd w kodzie inteligentnego kontraktu dla usługi Ethereum Alarm Clock, przy czym do tej pory z protokołu usunięto prawie 260,000 XNUMX USD.
Budzik Ethereum umożliwia użytkownikom planowanie przyszłych transakcji poprzez wstępne określenie adresu odbiorcy, wysłanej kwoty i pożądanego czasu transakcji. Użytkownicy muszą mieć wymagany Ether (ETH.) pod ręką, aby sfinalizować transakcję i uiścić opłaty za gaz z góry.
Według posta na Twitterze opublikowanego 19 października przez firmę PeckShield zajmującą się bezpieczeństwem blockchain i analizą danych, hakerom udało się wykorzystać lukę w planowanym procesie transakcji, co pozwala im zarobić na zwróconych opłatach za gaz z anulowanych transakcji.
Mówiąc prościej, osoby atakujące zasadniczo nazywały funkcje anulowania w swoich umowach z budzikiem Ethereum z zawyżonymi opłatami transakcyjnymi. Ponieważ protokół przewiduje zwrot opłaty za gaz za anulowane transakcje, błąd w inteligentnym kontrakcie zwracał hakerom większą wartość opłat za gaz niż początkowo zapłacili, pozwalając im na pokrycie różnicy.
„Potwierdziliśmy aktywny exploit, który wykorzystuje ogromną cenę gazu do gry w kontrakt TransactionRequestCore o nagrodę kosztem pierwotnego właściciela. W rzeczywistości exploit wypłaca górnikowi 51% zysku, stąd ta ogromna nagroda MEV-Boost” – napisała firma.
Potwierdziliśmy aktywny exploit, który wykorzystuje ogromną cenę gazu do gry w kontrakt TransactionRequestCore o nagrodę kosztem pierwotnego właściciela. W rzeczywistości exploit wypłaca górnikowi 51% zysku, stąd ta ogromna nagroda MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) 19 października 2022 r.
PeckShield dodał w tym czasie, że wykrył 24 adresy, które wykorzystywały błąd do zbierania rzekomych „nagród”.
Firma Supremacy Inc zajmująca się bezpieczeństwem Web3 również dostarczyła aktualizację kilka godzin później, wskazując na historię transakcji Etherscan, która pokazała, że hakerzy byli do tej pory w stanie przesunąć 204 ETH, o wartości około 259,800 XNUMX USD w momencie pisania.
„Ciekawe zdarzenie ataku, kontrakt TransactionRequestCore ma cztery lata, należy do projektu ethereum-budzik, ten projekt ma siedem lat, hakerzy faktycznie znaleźli tak stary kod do ataku” – zauważyła firma.
2/ Funkcja anulowania nalicza Opłatę Transakcyjną (gaz uesd * cena gazu) do wydania z „zużytym gazem” powyżej 85000 i przekazuje ją dzwoniącemu. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacja_CA) 19 października 2022 r.
W obecnej sytuacji brakowało aktualizacji na ten temat, aby ustalić, czy hack jest w toku, czy błąd został załatany lub czy atak się zakończył. Jest to rozwijająca się historia, a Cointelegraph będzie dostarczać aktualizacje w miarę jej rozwoju.
Pomimo tego, że październik jest ogólnie miesiącem kojarzonym z byczą akcją, ten miesiąc do tej pory obfitował w hacki. Według raportu Chainalysis z 13 października było już 718 milionów dolarów skradzionych z hacków w październiku, co czyni go największym miesiącem aktywności hakerskiej w 2022 roku.
Źródło: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-to-far