En bugg i den smarta kontraktskoden för tjänsten Ethereum Alarm Clock har enligt uppgift utnyttjats, med nästan 260,000 XNUMX dollar som sägs ha tagits bort från protokollet hittills.
Ethereums väckarklocka gör det möjligt för användare att schemalägga framtida transaktioner genom att förbestämma mottagaradress, skickat belopp och önskad tidpunkt för transaktionen. Användare måste ha den nödvändiga Ether (ETH) till hands för att slutföra transaktionen och måste betala gasavgifterna i förskott.
Enligt ett Twitter-inlägg den 19 oktober från blockchain-säkerhets- och dataanalysföretaget PeckShield, lyckades hackare utnyttja ett kryphål i den planerade transaktionsprocessen, vilket gör att de kan tjäna pengar på returnerade gasavgifter från avbrutna transaktioner.
Enkelt uttryckt kallade angriparna i huvudsak avbrytningsfunktioner på sina Ethereum Alarm Clock-kontrakt med förhöjda transaktionsavgifter. När protokollet diskar ut en återbetalning av gasavgiften för avbrutna transaktioner, har en bugg i det smarta kontraktet återbetalat hackarna ett större värde av gasavgifter än de ursprungligen betalade, vilket gör det möjligt för dem att sänka mellanskillnaden.
"Vi har bekräftat en aktiv exploatering som använder ett enormt gaspris för att spela TransactionRequestCore-kontraktet för belöning på den ursprungliga ägarens bekostnad. Faktum är att exploateringen betalar 51 % av vinsten till gruvarbetaren, därav denna enorma MEV-Boost-belöning”, skrev företaget.
Vi har bekräftat en aktiv exploatering som använder ett enormt gaspris för att spela TransactionRequestCore-kontraktet för belöning på bekostnad av den ursprungliga ägaren. Faktum är att exploateringen betalar 51% av vinsten till gruvarbetaren, därav denna enorma MEV-Boost-belöning. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktober 19, 2022
PeckShield lade till vid den tiden, det hade upptäckt 24 adresser som hade utnyttjat felet för att samla in de förmodade "belöningarna".
Web3-säkerhetsföretaget Supremacy Inc tillhandahöll också en uppdatering några timmar senare, som pekade på Etherscan-transaktionshistoriken som visade att hackarna hittills kunde svepa 204 ETH, värt ungefär $259,800 XNUMX i skrivande stund.
"Intressant attackhändelse, TransactionRequestCore-kontraktet är fyra år gammalt, det tillhör ethereum-alarm-clock-projektet, det här projektet är sju år gammalt, hackare hittade faktiskt så gammal kod att attackera", noterade företaget.
2/ Avbrytningsfunktionen beräknar transaktionsavgiften (använd gas * gaspris) som ska spenderas med den "använda gasen" över 85000 XNUMX och överför den till den som ringer. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktober 19, 2022
Som det ser ut har det saknats uppdateringar om ämnet för att avgöra om hacket pågår, om buggen har korrigerats eller om attacken har avslutats. Det här är en utvecklingshistoria och Cointelegraph kommer att tillhandahålla uppdateringar när den utvecklas.
Trots att oktober i allmänhet är en månad förknippad med hausseartad action, har denna månad hittills varit full av hacks. Enligt en Chainalysis-rapport från den 13 oktober hade det redan funnits 718 miljoner dollar stulna från hackor i oktober, vilket gör det till den största månaden för hackeraktivitet 2022.
Källa: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far