Ang isang bug sa smart contract code para sa Ethereum Alarm Clock na serbisyo ay naiulat na pinagsamantalahan, na halos $260,000 ang sinasabing na-swipe mula sa protocol sa ngayon.
Ang Ethereum Alarm Clock ay nagbibigay-daan sa mga user na mag-iskedyul ng mga transaksyon sa hinaharap sa pamamagitan ng paunang pagtukoy sa address ng tatanggap, halagang ipinadala at nais na oras ng transaksyon. Ang mga gumagamit ay dapat magkaroon ng kinakailangang Ether (ETH) na nasa kamay upang makumpleto ang transaksyon at kailangang bayaran nang maaga ang mga bayarin sa gas.
Ayon sa isang post sa Twitter noong Oktubre 19 mula sa blockchain security at data analytics firm na PeckShield, nagawa ng mga hacker na samantalahin ang isang butas sa naka-iskedyul na proseso ng transaksyon, na nagpapahintulot sa kanila na kumita sa mga ibinalik na bayad sa gas mula sa mga nakanselang transaksyon.
Sa madaling salita, ang mga umaatake ay tinatawag na cancel functions sa kanilang mga kontrata sa Ethereum Alarm Clock na may napalaki na mga bayarin sa transaksyon. Habang naglalabas ang protocol ng refund ng gas fee para sa mga nakanselang transaksyon, isang bug sa matalinong kontrata ang nagre-refund sa mga hacker ng mas malaking halaga ng mga bayarin sa gas kaysa sa una nilang binayaran, na nagpapahintulot sa kanila na ibulsa ang pagkakaiba.
“Nakumpirma namin ang isang aktibong pagsasamantala na gumagamit ng malaking presyo ng gas upang laro ang kontrata ng TransactionRequestCore para sa gantimpala sa halaga ng orihinal na may-ari. Sa katunayan, ang pagsasamantala ay nagbabayad ng 51% ng kita sa minero, kaya ang malaking gantimpala ng MEV-Boost na ito, "isinulat ng kumpanya.
Nakumpirma namin ang isang aktibong pagsasamantala na gumagamit ng malaking presyo ng gas upang laro ang kontrata ng TransactionRequestCore para sa reward sa halaga ng orihinal na may-ari. Sa katunayan, binabayaran ng pagsasamantala ang 51% ng kita sa minero, kaya itong malaking reward na MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktubre 19, 2022
Idinagdag ni PeckShield noong panahong iyon, nakakita ito ng 24 na address na nagsasamantala sa bug upang mangolekta ng dapat na "mga gantimpala."
Nagbigay din ang Web3 security firm na Supremacy Inc ng update makalipas ang ilang oras, na itinuturo ang kasaysayan ng transaksyon sa Etherscan na nagpakita na ang (mga) hacker ay hanggang ngayon ay nakapag-swipe ng 204 ETH, na nagkakahalaga ng humigit-kumulang $259,800 sa oras ng pagsulat.
"Kagiliw-giliw na kaganapan sa pag-atake, ang kontrata ng TransactionRequestCore ay apat na taong gulang, ito ay kabilang sa ethereum-alarm-clock na proyekto, ang proyektong ito ay pitong taong gulang, ang mga hacker ay aktwal na nakahanap ng ganoong lumang code upang atakehin," sabi ng kompanya.
2/ Kinakalkula ng cancel function ang Transaction Fee (gas uesd * gas price) na gagastusin kasama ng “gas used” na mahigit 85000 at inililipat ito sa tumatawag. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktubre 19, 2022
Tulad ng nakatayo, nagkaroon ng kakulangan ng mga update sa paksa upang matukoy kung ang hack ay nagpapatuloy, kung ang bug ay na-patched o kung ang pag-atake ay natapos na. Ito ay isang umuunlad na kuwento at ang Cointelegraph ay magbibigay ng mga update habang ito ay nagbubukas.
Sa kabila ng Oktubre sa pangkalahatan ay isang buwang nauugnay sa bullish na aksyon, ang buwang ito hanggang ngayon ay puno ng mga hack. Ayon sa ulat ng Chainalysis mula Oktubre 13, mayroon na $718 milyon ang ninakaw mula sa mga hack noong Oktubre, na ginagawa itong pinakamalaking buwan para sa aktibidad ng pag-hack sa 2022.
Pinagmulan: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far