Po poročanju je bila izkoriščena napaka v kodi pametne pogodbe za storitev Ethereum Alarm Clock, pri čemer naj bi bilo do zdaj iz protokola počrpanih skoraj 260,000 USD.
Ethereum Alarm Clock uporabnikom omogoča načrtovanje prihodnjih transakcij tako, da vnaprej določijo naslov prejemnika, poslani znesek in želeni čas transakcije. Uporabniki morajo imeti zahtevani eter (ETH) pri roki za dokončanje transakcije in morate vnaprej plačati stroške plina.
Glede na objavo na Twitterju podjetja PeckShield za varnost in analizo podatkovnih verig z dne 19. oktobra je hekerjem uspelo izkoristiti vrzel v procesu načrtovanih transakcij, kar jim omogoča ustvarjanje dobička na vrnjenih pristojbinah za plin iz preklicanih transakcij.
Preprosto povedano, napadalci so v bistvu poklicali funkcije preklica na svojih pogodbah Ethereum Alarm Clock z napihnjenimi transakcijskimi provizijami. Ker protokol izloča povračilo nadomestila za plin za preklicane transakcije, je hrošč v pametni pogodbi hekerjem povrnil večjo vrednost nadomestil za plin, kot so jih prvotno plačali, kar jim je omogočilo, da si razliko priberejo v žep.
»Potrdili smo aktivno izkoriščanje, ki izkorišča ogromno ceno plina za igranje pogodbe TransactionRequestCore za nagrado na stroške prvotnega lastnika. Pravzaprav izkoriščanje plača 51 % dobička rudarju, zato ta ogromna nagrada MEV-Boost,« je zapisalo podjetje.
Potrdili smo aktivno izkoriščanje, ki izkorišča visoko ceno plina za igranje pogodbe TransactionRequestCore za nagrado na stroške prvotnega lastnika. Pravzaprav izkoriščanje plača 51 % dobička rudarju, zato ta ogromna nagrada MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktober 19, 2022
PeckShield je takrat dodal, da je opazil 24 naslovov, ki so izkoriščali napako za zbiranje domnevnih "nagrad".
Varnostno podjetje Web3 Supremacy Inc je nekaj ur pozneje zagotovilo tudi posodobitev, ki je pokazala na zgodovino transakcij Etherscan, ki je pokazala, da je heker(-ji) doslej lahko potegnil 204 ETH, kar je v času pisanja tega članka vredno približno 259,800 $.
"Zanimiv dogodek napada, pogodba TransactionRequestCore je stara štiri leta, pripada projektu ethereum-alarm-clock, ta projekt je star sedem let, hekerji so dejansko našli tako staro kodo za napad," je opozorilo podjetje.
2/ Funkcija preklica izračuna transakcijsko provizijo (uesd za plin * cena plina), ki se porabi z "porabljenim plinom" nad 85000 in jo prenese na klicatelja. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktober 19, 2022
Trenutno ni bilo posodobitev na to temo, da bi ugotovili, ali vdor poteka, ali je bila napaka popravljena ali če je napad zaključen. To je zgodba v razvoju in Cointelegraph bo zagotavljal posodobitve, ko se bo odvijala.
Kljub temu, da je oktober na splošno mesec, povezan z rastjo, je bil ta mesec doslej poln vdorov. Po poročilu Chainalysis iz 13. oktobra je že bilo 718 milijonov dolarjev ukradenih zaradi vdorov oktobra, zaradi česar je to največji mesec za hekersko dejavnost v letu 2022.
Vir: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far