Chyba v kódu inteligentní smlouvy pro službu Ethereum Alarm Clock byla údajně zneužita, přičemž z protokolu bylo dosud údajně odstraněno téměř 260,000 XNUMX dolarů.
Ethereum Alarm Clock umožňuje uživatelům plánovat budoucí transakce tím, že předem určí adresu příjemce, odeslanou částku a požadovaný čas transakce. Uživatelé musí mít požadovaný ether (ETH) po ruce k dokončení transakce a je třeba zaplatit poplatky za plyn předem.
Podle twitterového příspěvku z 19. října od firmy PeckShield zabývající se zabezpečením blockchainu a analýzou dat se hackerům podařilo využít mezeru v plánovaném transakčním procesu, která jim umožňuje vydělat na vrácených poplatcích za plyn ze zrušených transakcí.
Jednoduše řečeno, útočníci v podstatě nazývali funkce zrušení na svých smlouvách o budíku Ethereum s nafouknutými transakčními poplatky. Vzhledem k tomu, že protokol uvádí vrácení poplatku za plyn za zrušené transakce, chyba v chytré smlouvě vrátila hackerům větší hodnotu poplatků za plyn, než původně zaplatili, což jim umožnilo strhnout rozdíl do kapsy.
„Potvrdili jsme aktivní exploit, který využívá obrovskou cenu plynu k hraní smlouvy TransactionRequestCore za odměnu na náklady původního vlastníka. Ve skutečnosti exploit vyplatí 51 % zisku těžaři, a proto tato obrovská odměna MEV-Boost,“ napsala firma.
Potvrdili jsme aktivní exploit, který využívá obrovskou cenu plynu ke hraní kontraktu TransactionRequestCore za odměnu na náklady původního vlastníka. Ve skutečnosti exploit vyplácí 51 % zisku těžaři, proto tato obrovská odměna MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Října 19, 2022
PeckShield v té době dodal, že si všiml 24 adres, které tuto chybu zneužívaly k získávání údajných „odměn“.
Web3 bezpečnostní firma Supremacy Inc také poskytla aktualizaci o několik hodin později, poukazující na historii transakcí Etherscan, která ukázala, že hackeři byli dosud schopni získat 204 ETH, v hodnotě zhruba 259,800 XNUMX $ v době psaní tohoto článku.
„Zajímavá událost útoku, smlouva TransactionRequestCore je čtyři roky stará, patří k projektu ethereum-alarm-clock, tento projekt je sedm let starý, hackeři skutečně našli takový starý kód k útoku,“ poznamenala firma.
2/ Funkce Storno vypočítá transakční poplatek (uesd plynu * cena plynu), který má být vynaložen s „použitým plynem“ nad 85000 XNUMX, a převede jej na volajícího. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Října 19, 2022
V současné době chybí aktualizace na toto téma, aby se zjistilo, zda hack probíhá, zda byla chyba opravena nebo zda byl útok ukončen. Toto je rozvíjející se příběh a Cointelegraph bude poskytovat aktualizace, jak se bude vyvíjet.
Navzdory tomu, že je říjen obecně měsícem spojeným s býčími akcemi, tento měsíc byl zatím plný hacků. Podle zprávy Chainalysis z 13. října už tam bylo 718 milionů dolarů ukradených hackery v říjnu, což je největší měsíc pro hackerské aktivity v roce 2022.
Zdroj: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far