Ang serbisyo ng Ethereum Alarm Clock ay naging biktima ng pinakabagong pagsasamantala ng Hacktober na nagresulta sa mga pagkalugi na nagkakahalaga ng $260,000.
Iniuulat ng PeckShield ang Alarm Clock Attack
Humigit-kumulang $260,000 na halaga ng ETH ang na-siphon nang sinamantala ng mga hacker ang isang bug sa smart contract code para sa serbisyo ng Ethereum Alarm Clock. Ang balita ay unang dinala sa publiko ng blockchain security at data analytics company na PeckShield, na nagsiwalat na ang mga hacker ay pinamamahalaang manipulahin ang isang butas sa code ng pag-iskedyul, na nagpapahintulot sa kanila na kumita mula sa mga ibinalik na gas fee sa mga nakanselang transaksyon. Sa kasalukuyan, ang protocol ay maaaring gamitin para sa pag-iskedyul ng mga transaksyon sa hinaharap sa pamamagitan ng paglalagay ng address ng tatanggap, ang halaga ng mga pondong ililipat, at ang oras ng transaksyon. Dapat panatilihin ng mga user ang kinakailangang halaga ng Ether para magbayad ng gas fee para sa transaksyon nang maaga. Sa kaso ng mga nakanselang transaksyon, ang ibinawas na mga bayarin sa gas ay ibinabalik sa pinagmulang pitaka.
Ipinaliwanag ang Mekanismo ng Pagsasamantala
Ang mekanismo ng pagsasamantala ay maaaring ibuod bilang mga umaatake na tumatawag sa mga function ng pagkansela sa kanilang mga kontrata sa Ethereum Alarm Clock na may napalaki na mga bayarin sa transaksyon. Ang isang bug sa matalinong kontrata ay nagre-refund sa mga salarin ng mas mataas na halaga ng mga bayarin sa gas kaysa sa una nilang binayaran. Iniulat ng PeckShield na 51% ng tinapa na refund na ito ay binayaran sa mga minero, kaya tumaas ang kanilang Miner Extractable Value (MEV).
Nag-tweet ang firm,
“Nakumpirma namin ang isang aktibong pagsasamantala na gumagamit ng malaking presyo ng gas upang laro ang kontrata ng TransactionRequestCore para sa gantimpala sa halaga ng orihinal na may-ari. Sa katunayan, binabayaran ng pagsasamantala ang 51% ng kita sa minero, kaya ang malaking reward na MEV-Boost na ito."
Ayon sa isa pang security firm, Supremacy Inc., ang pagsasamantala ay nagresulta sa pagkawala ng humigit-kumulang 204 ETH.
Nagpapatuloy ang Hacktober
2022 ay nakakita na ng record number ng DeFi hacks. Ang pag-atake ng Alarm Clock ay ang pinakabago sa mahabang linya ng mga protocol hack na nagsamantala ng mga bug sa mga smart contract code, lalo na sa buwan ng Oktubre, na tinatawag ding Hacktober. Pinakabago, Pamilihan ng Moola ay na-hack ng $9 milyon sa pamamagitan ng pagmamanipula sa presyo ng native MOO token ng lending protocol sa pamamagitan ng pagbili ng $45,000 na halaga ng token at pagdedeposito nito bilang collateral para humiram ng mga CELO token. Sa kabutihang palad, ibinalik ng hacker ang karamihan sa mga pondo habang pinapanatili ang $500,000 bilang isang bug bounty. Ang iba pang mga protocol na pinagsamantalahan nitong Oktubre ay kinabibilangan ng BitKeep Wallet at DeFi protocol Sovryn, na parehong nawalan ng humigit-kumulang isang milyong dolyar bawat isa. Gayunpaman, ang pinaka-kapansin-pansin ay ang Mga Merkado ng Mangga hack, na nagresulta sa pagsipsip ng mga pondong nagkakahalaga ng $117 mula sa lending platform sa ikalawang linggo ng Hacktober.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2022/10/ethereum-alarm-clock-targeted-in-hacktober