Tiek ziņots, ka ir izmantota kļūda viedā līguma kodā pakalpojumam Ethereum Alarm Clock, un līdz šim no protokola ir izņemti gandrīz 260,000 XNUMX USD.
Ethereum modinātājs ļauj lietotājiem ieplānot turpmākos darījumus, iepriekš nosakot saņēmēja adresi, nosūtīto summu un vēlamo darījuma laiku. Lietotājiem ir jābūt nepieciešamajam ēterim (ETH), lai pabeigtu darījumu, un iepriekš ir jāsamaksā maksa par gāzi.
Saskaņā ar 19. oktobra Twitter ierakstu no blokķēdes drošības un datu analīzes uzņēmuma PeckShield, hakeriem izdevās izmantot nepilnību plānotā darījuma procesā, kas ļauj viņiem gūt peļņu no atdotajām gāzes maksām no atceltajiem darījumiem.
Vienkārši izsakoties, uzbrucēji būtībā sauca par savu Ethereum modinātājpulksteņu atcelšanas funkciju līgumu ar paaugstinātu darījumu maksu. Kamēr protokols izraksta gāzes maksas atmaksu par atceltiem darījumiem, viedā līguma kļūda hakeriem ir atmaksājusi lielāku gāzes nodevu vērtību, nekā viņi sākotnēji samaksāja, ļaujot viņiem iemaksāt starpību.
“Mēs esam apstiprinājuši aktīvu izmantošanu, kas izmanto milzīgu gāzes cenu, lai izpildītu TransactionRequestCore līgumu par atlīdzību uz sākotnējā īpašnieka rēķina. Faktiski ieguve maksā 51% no peļņas kalnračiem, līdz ar to šī milzīgā MEV-Boost atlīdzība," raksta uzņēmums.
Mēs esam apstiprinājuši aktīvu izmantošanu, kas izmanto milzīgu gāzes cenu, lai izspēlētu TransactionRequestCore līgumu par atlīdzību par sākotnējā īpašnieka izmaksām. Faktiski ieguve maksā 51% no peļņas kalnračiem, tāpēc šī milzīgā MEV-Boost atlīdzība. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktobris 19, 2022
PeckShield toreiz piebilda, ka tas bija pamanījis 24 adreses, kas izmantoja kļūdu, lai savāktu iespējamo "atlīdzību".
Web3 drošības firma Supremacy Inc dažas stundas vēlāk arī sniedza atjauninājumu, norādot uz Etherscan darījumu vēsturi, kas liecināja, ka hakeris(-i) līdz šim varēja pārvilkt 204 ETH, rakstīšanas laikā tā vērtība bija aptuveni 259,800 XNUMX USD.
"Interesants uzbrukuma notikums, TransactionRequestCore līgums ir četrus gadus vecs, tas pieder ethereum-modinātājpulksteņa projektam, šim projektam ir septiņi gadi, hakeri faktiski atrada tik vecu kodu, lai uzbruktu," norādīja uzņēmums.
2/ Atcelšanas funkcija aprēķina Darījuma maksu (gāzes uesd * gāzes cena), kas jāiztērē ar “izlietoto gāzi” virs 85000 XNUMX, un pārskaita to zvanītājam. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktobris 19, 2022
Pašreizējā situācijā trūkst atjauninājumu par šo tēmu, lai noteiktu, vai uzlaušana turpinās, vai kļūda ir izlabota vai uzbrukums ir beidzies. Šis ir jauns stāsts, un Cointelegraph sniegs atjauninājumus, kad tas risināsies.
Neraugoties uz to, ka oktobris parasti ir mēnesis, kas saistīts ar bullish rīcību, šis mēnesis līdz šim ir bijis daudz uzlauztu. Saskaņā ar Chainalysis ziņojumu no 13. oktobra, tādi jau bija Uzlaušanas rezultātā nozagti 718 miljoni dolāru oktobrī, padarot to par lielāko hakeru aktivitāšu mēnesi 2022. gadā.
Avots: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far