Паведамляецца, што была выкарыстана памылка ў кодзе смарт-кантракту для сэрвісу Ethereum Alarm Clock, і на дадзены момант з пратакола было выдалена амаль 260,000 XNUMX долараў.
Будзільнік Ethereum дазваляе карыстальнікам планаваць будучыя транзакцыі, загадзя вызначаючы адрас атрымальніка, адпраўленую суму і жаданы час транзакцыі. Карыстальнікі павінны мець неабходны эфір (ETH) пад рукой, каб завяршыць транзакцыю, і трэба аплаціць бензін загадзя.
Згодна з паведамленнем у Twitter ад 19 кастрычніка кампаніі PeckShield, якая займаецца бяспекай і аналізам даных у блокчейне, хакерам удалося выкарыстаць шчыліну ў працэсе запланаваных транзакцый, што дазваляе ім атрымліваць прыбытак ад вяртання платы за бензін ад адмененых транзакцый.
Кажучы простымі словамі, зламыснікі па сутнасці выклікалі функцыі адмены ў сваіх кантрактах Ethereum Alarm Clock з завышанымі камісіямі за транзакцыі. Паколькі пратакол прадугледжвае вяртанне платы за бензін за адмененыя транзакцыі, памылка ў смарт-кантракце вяртала хакерам большую суму платы за бензін, чым яны плацілі першапачаткова, дазваляючы ім класці розніцу ў кішэню.
«Мы пацвердзілі актыўны эксплойт, які выкарыстоўвае велізарную цану на газ, каб выйграць кантракт TransactionRequestCore за ўзнагароджанне за кошт першапачатковага ўладальніка. Фактычна, эксплойт плаціць 51% прыбытку Майнеру, адсюль і гэтая велізарная ўзнагарода MEV-Boost», — напісала фірма.
Мы пацвердзілі актыўны эксплойт, які выкарыстоўвае велізарную цану на газ, каб выйграць кантракт TransactionRequestCore за ўзнагароджанне за кошт першапачатковага ўладальніка. Фактычна, эксплойт выплачвае 51% прыбытку Майнеру, адсюль і гэтая велізарная ўзнагарода MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Кастрычнік 19, 2022
У той час PeckShield дадаў, што выявіў 24 адрасы, якія выкарыстоўвалі памылку для атрымання меркаваных «узнагарод».
Фірма па бяспецы Web3 Supremacy Inc таксама прадставіла абнаўленне праз некалькі гадзін, указваючы на гісторыю транзакцый Etherscan, якая паказала, што хакер(ы) змаглі атрымаць 204 ETH, што каштавала прыкладна 259,800 XNUMX долараў на момант напісання.
«Цікавая падзея атакі, кантракту TransactionRequestCore чатыры гады, ён належыць праекту ethereum-alarm-clock, гэтаму праекту сем гадоў, хакеры сапраўды знайшлі такі стары код для атакі», - адзначылі ў фірме.
2/ Функцыя адмены разлічвае камісію за транзакцыю (газ уэсд * цана газу), якая будзе выдаткавана з «выкарыстаным газам» больш за 85000, і перадае яе абаненту. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Кастрычнік 19, 2022
У цяперашнім выглядзе не хапае абнаўленняў па гэтай тэме, каб вызначыць, ці працягваецца ўзлом, ці была выпраўлена памылка, ці завяршылася атака. Гэта распрацоўка гісторыі, і Cointelegraph будзе прадастаўляць абнаўленні па меры яе развіцця.
Нягледзячы на тое, што кастрычнік у цэлым з'яўляецца месяцам, звязаным з бычынымі дзеяннямі, гэты месяц да гэтага часу быў багаты хакерамі. Згодна са справаздачай Chainalysis ад 13 кастрычніка, гэта ўжо было 718 мільёнаў долараў скрадзеныя ў выніку хакерскіх нападаў у кастрычніку, што робіць яго самым вялікім месяцам хакерскай актыўнасці ў 2022 годзе.
Крыніца: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far