Budzik Ethereum ukierunkowany na Hacktober

Usługa Ethereum Budzik padł ofiarą najnowszego exploita Hacktobera, który przyniósł straty o wartości 260,000 XNUMX USD. 

PeckShield zgłasza atak na budzik

Około 260,000 XNUMX dolarów ETH zostało wyprowadzone, gdy hakerzy wykorzystali błąd w kodzie inteligentnej umowy dla usługi Ethereum Alarm Clock. Wiadomość ta została po raz pierwszy upubliczniona przez firmę PeckShield zajmującą się bezpieczeństwem blockchain i analizą danych, która ujawniła, że ​​hakerom udało się zmanipulować lukę w kodzie harmonogramu, umożliwiając im czerpanie zysków ze zwróconych opłat za gaz w przypadku anulowanych transakcji. Obecnie protokół można wykorzystać do planowania przyszłych transakcji, wprowadzając adres odbiorcy, kwotę przelewu oraz czas transakcji. Użytkownicy muszą zachować niezbędną ilość Etheru, aby uiścić z góry opłaty za gaz za transakcję. W przypadku transakcji anulowanych potrącone opłaty gazowe są zwracane do portfela, z którego pochodzą.

Wyjaśnienie mechanizmu wykorzystania

Mechanizm exploita można podsumować jako atakujący wywołujący funkcje anulowania w swoich umowach z budzikiem Ethereum z zawyżonymi opłatami transakcyjnymi. Błąd w inteligentnym kontrakcie zwracał sprawcom wyższą wartość opłat za gaz niż pierwotnie zapłacona. PeckShield poinformował, że 51% tego nadętego zwrotu zostało wypłaconych górnikom, zwiększając w ten sposób ich wartość wydobywalną dla górników (MEV). 

Firma napisała na Twitterze, 

„Potwierdziliśmy aktywny exploit, który wykorzystuje ogromną cenę gazu do gry w kontrakt TransactionRequestCore o nagrodę kosztem pierwotnego właściciela. W rzeczywistości exploit wypłaca górnikowi 51% zysku, stąd ta ogromna nagroda w postaci MEV-Boost”.

Według innej firmy zajmującej się bezpieczeństwem, Supremacy Inc., exploit spowodował utratę około 204 ETH. 

Hacktober kontynuuje

W 2022 r. odnotowano już rekordową liczbę hacków DeFi. Atak Budzik jest ostatnim z długiej linii włamań do protokołów, które wykorzystywały błędy w inteligentnych kodach kontraktowych, zwłaszcza w październiku, który jest również określany jako Hacktober. Ostatnio, Targ Moola został zhakowany za 9 milionów dolarów, manipulując ceną natywnego tokena MOO protokołu pożyczkowego, kupując token o wartości 45,000 500,000 dolarów i deponując go jako zabezpieczenie pożyczki tokenów CELO. Na szczęście haker zwrócił większość środków, zachowując XNUMX XNUMX $ jako nagrodę za błąd. Inne protokoły, które zostały wykorzystane w październiku to: Portfel BitKeep i protokół DeFi Sowryn, z których każdy stracił około miliona dolarów. Jednak najbardziej godna uwagi jest ta Rynki Mango hack, w wyniku którego w drugim tygodniu Hacktobera z platformy pożyczkowej wyprowadzono fundusze o wartości 117 USD. 

Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.