En feil i den smarte kontraktskoden for Ethereum Alarm Clock-tjenesten har angivelig blitt utnyttet, med nesten $260,000 XNUMX som sies å ha blitt sveipet fra protokollen så langt.
Ethereum Alarm Clock gjør det mulig for brukere å planlegge fremtidige transaksjoner ved å forhåndsbestemme mottakeradressen, sendt beløp og ønsket tidspunkt for transaksjonen. Brukere må ha den nødvendige Ether (ETH) tilgjengelig for å fullføre transaksjonen og må betale gassavgiftene på forhånd.
I følge et Twitter-innlegg fra 19. oktober fra blokkjedesikkerhets- og dataanalysefirmaet PeckShield, klarte hackere å utnytte et smutthull i den planlagte transaksjonsprosessen, som lar dem tjene penger på returnerte gassavgifter fra kansellerte transaksjoner.
Enkelt sagt kalte angriperne i hovedsak kanselleringsfunksjoner på deres Ethereum Alarm Clock-kontrakter med høye transaksjonsgebyrer. Ettersom protokollen rettar ut en refusjon av gassgebyr for kansellerte transaksjoner, har en feil i den smarte kontrakten refundert hackerne en større verdi av gassgebyrer enn de opprinnelig betalte, slik at de kan punge ut forskjellen.
"Vi har bekreftet en aktiv utnyttelse som bruker en enorm gasspris for å spille TransactionRequestCore-kontrakten for belønning på bekostning av den opprinnelige eieren. Faktisk betaler utnyttelsen 51% av overskuddet til gruvearbeideren, derav denne enorme MEV-Boost-belønningen," skrev firmaet.
Vi har bekreftet en aktiv utnyttelse som bruker en enorm gasspris for å spille TransactionRequestCore-kontrakten for belønning på bekostning av den opprinnelige eieren. Faktisk betaler utnyttelsen 51% av overskuddet til gruvearbeideren, derav denne enorme MEV-Boost-belønningen. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktober 19, 2022
PeckShield la til den gangen, den hadde oppdaget 24 adresser som hadde utnyttet feilen for å samle de antatte "belønningene".
Web3-sikkerhetsfirmaet Supremacy Inc ga også en oppdatering noen timer senere, og pekte på Etherscan-transaksjonshistorikken som viste at hackeren(e) så langt var i stand til å sveipe 204 ETH, verdt omtrent $259,800 XNUMX i skrivende stund.
"Interessant angrepshendelse, TransactionRequestCore-kontrakten er fire år gammel, den tilhører ethereum-alarm-clock-prosjektet, dette prosjektet er syv år gammelt, hackere fant faktisk så gammel kode å angripe," bemerket firmaet.
2/ Kanselleringsfunksjonen beregner transaksjonsgebyret (brukt gass * gasspris) som skal brukes med "brukt gass" over 85000 XNUMX og overfører det til den som ringer. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktober 19, 2022
Som det står, har det vært mangel på oppdateringer om emnet for å avgjøre om hacket pågår, om feilen har blitt rettet eller om angrepet er avsluttet. Dette er en utviklingshistorie og Cointelegraph vil gi oppdateringer etter hvert som den utfolder seg.
Til tross for at oktober generelt er en måned assosiert med bullish action, har denne måneden så langt vært full av hacks. Ifølge en Chainalysis-rapport fra 13. oktober hadde det allerede vært 718 millioner dollar stjålet fra hackere i oktober, noe som gjør det til den største måneden for hackingaktivitet i 2022.
Kilde: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far