Navodno je iskorištena greška u kodu pametnog ugovora za uslugu Ethereum Alarm Clock, pri čemu se kaže da je do sada iz protokola ukradeno gotovo 260,000 dolara.
Ethereum Alarm Clock omogućuje korisnicima zakazivanje budućih transakcija unaprijed određivanjem adrese primatelja, poslanog iznosa i željenog vremena transakcije. Korisnici moraju imati potreban Ether (ETH) pri ruci za dovršetak transakcije i morate platiti naknade za plin unaprijed.
Prema objavi na Twitteru od 19. listopada tvrtke PeckShield za sigurnost i analizu podataka u lancu blokova, hakeri su uspjeli iskoristiti rupu u zakazanom transakcijskom procesu, što im omogućuje da zarade na vraćenim naknadama za gorivo iz otkazanih transakcija.
Jednostavno rečeno, napadači su u biti pozvali funkcije otkazivanja na svojim Ethereum ugovorima za budilicu s napuhanim naknadama za transakcije. Dok protokol isplaćuje povrat naknade za gorivo za otkazane transakcije, greška u pametnom ugovoru vraća hakerima veću vrijednost naknada za gorivo nego što su prvobitno platili, što im omogućuje da stave razliku u džep.
“Potvrdili smo aktivnu eksploataciju koja koristi ogromnu cijenu plina za igru TransactionRequestCore ugovora za nagradu na trošak izvornog vlasnika. Zapravo, eksploatacija plaća 51% profita rudaru, otuda i ova ogromna MEV-Boost nagrada,” napisala je tvrtka.
Potvrdili smo aktivno iskorištavanje koje koristi ogromnu cijenu plina za igranje ugovora TransactionRequestCore za nagradu po trošku izvornog vlasnika. Zapravo, eksploatacija isplaćuje 51% profita rudaru, otuda i ova ogromna MEV-Boost nagrada. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Listopada 19, 2022
PeckShield je u to vrijeme dodao da je uočio 24 adrese koje su iskorištavale grešku za prikupljanje navodnih "nagrada".
Web3 sigurnosna tvrtka Supremacy Inc također je objavila ažuriranje nekoliko sati kasnije, ukazujući na povijest transakcija Etherscan-a koja je pokazala da su hakeri do sada uspjeli prevući 204 ETH, u vrijednosti od otprilike 259,800 dolara u vrijeme pisanja.
"Zanimljiv događaj napada, TransactionRequestCore ugovor star je četiri godine, pripada projektu ethereum-alarm-clock, ovaj projekt je star sedam godina, hakeri su zapravo pronašli tako stari kod za napad", istaknula je tvrtka.
2/ Funkcija otkazivanja izračunava naknadu za transakciju (plin uesd * cijena plina) koju treba potrošiti s "korištenim plinom" preko 85000 i prenosi je pozivatelju. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Listopada 19, 2022
Kako sada stoji, nedostajalo je ažuriranja na tu temu kako bi se utvrdilo je li hakiranje u tijeku, je li pogreška zakrpana ili je napad završen. Ovo je priča u razvoju i Cointelegraph će pružati ažuriranja kako se bude odvijala.
Unatoč tome što je listopad općenito mjesec povezan s rastom, ovaj je mjesec do sada bio prepun hakova. Prema izvješću Chainalysisa od 13. listopada, već ih je bilo 718 milijuna dolara ukradeno hakiranjem u listopadu, što ga čini najvećim mjesecom hakiranja u 2022.
Izvor: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far