Ethereum-vekkerklokke målrettet i Hacktober

Ethereum Alarm Clock-tjenesten har blitt offer for den siste Hacktober-utnyttelsen som har resultert i tap verdt $260,000 XNUMX. 

PeckShield rapporterer vekkerklokkeangrep

ETH verdt 260,000 XNUMX dollar ble fjernet da hackere utnyttet en feil i den smarte kontraktskoden for Ethereum Alarm Clock-tjenesten. Nyheten ble først brakt til offentligheten av blockchain-sikkerhets- og dataanalyseselskapet PeckShield, som avslørte at hackere hadde klart å manipulere et smutthull i planleggingskoden, slik at de kunne tjene på returnerte gassavgifter på kansellerte transaksjoner. For øyeblikket kan protokollen brukes for å planlegge fremtidige transaksjoner ved å angi en mottakeradresse, beløpet som skal overføres og tidspunktet for transaksjonen. Brukere må beholde den nødvendige mengden Ether for å betale gassavgifter for transaksjonen på forhånd. Ved kansellerte transaksjoner refunderes de trukket gassavgiftene til den opprinnelige lommeboken.

Utnyttelsesmekanisme forklart

Utnyttelsesmekanismen kan oppsummeres som angripere som ringer kanselleringsfunksjoner på deres Ethereum Alarm Clock-kontrakter med høye transaksjonsgebyrer. En feil i den smarte kontrakten har refundert gjerningsmennene en høyere verdi av gassavgifter enn det de opprinnelig betalte. PeckShield rapporterte at 51 % av denne oppsvulmede refusjonen ble utbetalt til gruvearbeidere, og dermed økte deres Miner Extractable Value (MEV). 

Firmaet twitret, 

"Vi har bekreftet en aktiv utnyttelse som bruker enorme gasspriser for å spille TransactionRequestCore-kontrakten for belønning på bekostning av den opprinnelige eieren. Faktisk betaler utnyttelsen 51% av overskuddet til gruvearbeideren, derav denne enorme MEV-Boost-belønningen."

Ifølge et annet sikkerhetsfirma, Supremacy Inc., har utnyttelsen resultert i et tap på rundt 204 ETH. 

Hacktober fortsetter

2022 har allerede sett et rekordantall DeFi-hack. Alarm Clock-angrepet er det siste i en lang rekke protokollhack som har utnyttet feil i smarte kontraktskoder, spesielt i oktober måned, som også blir kalt Hacktober. Nylig, Moola marked ble hacket for 9 millioner dollar ved å manipulere prisen på utlånsprotokollens opprinnelige MOO-token ved å kjøpe tokenet verdt 45,000 500,000 dollar og sette det inn som sikkerhet for å låne CELO-tokens. Heldigvis returnerte hackeren mesteparten av midlene mens han beholdt $XNUMX XNUMX som en feilpremie. Andre protokoller som ble utnyttet i oktober inkluderer BitKeep-lommebok og DeFi-protokollen Sovryn, som begge tapte rundt en million dollar hver. Det mest bemerkelsesverdige er imidlertid Mangomarkeder hack, noe som resulterte i at midler verdt $117 ble fjernet fra utlånsplattformen i den andre uken av Hacktober. 

Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.