By
Сообщается, что ошибка в коде смарт-контракта для службы будильника Ethereum была использована, и на данный момент из протокола было украдено почти 260 000 долларов.
Будильник Ethereum позволяет пользователям планировать будущие транзакции, заранее определяя адрес получателя, отправленную сумму и желаемое время транзакции. Пользователи должны иметь необходимый эфир (Эфириум) в наличии, чтобы завершить транзакцию, и вам необходимо заранее оплатить сборы за газ.
Согласно сообщению в Твиттере от 19 октября компании PeckShield, занимающейся безопасностью и анализом данных, хакерам удалось использовать лазейку в запланированном процессе транзакций, что позволяет им получать прибыль от возвращенных сборов за газ от отмененных транзакций.
Проще говоря, злоумышленники, по сути, вызвали функции отмены в своих контрактах Ethereum Alarm Clock с завышенной комиссией за транзакцию. Поскольку протокол возвращает комиссию за газ для отмененных транзакций, ошибка в смарт-контракте возмещает хакерам большую сумму сборов за газ, чем они изначально заплатили, что позволяет им присвоить разницу.
«Мы подтвердили активный эксплойт, который использует огромную цену на газ для игры с контрактом TransactionRequestCore за вознаграждение за счет первоначального владельца. Фактически, эксплойт выплачивает майнеру 51% прибыли, отсюда и эта огромная награда MEV-Boost», — написала фирма.
Мы подтвердили активный эксплойт, который использует огромную цену газа для игры в контракте TransactionRequestCore за вознаграждение за счет первоначального владельца. Фактически, эксплойт выплачивает майнеру 51% прибыли, отсюда и эта огромная награда MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 октября 2022 г.
В то время PeckShield добавил, что обнаружил 24 адреса, которые использовали ошибку для получения предполагаемых «наград».
Фирма по обеспечению безопасности Web3 Supremacy Inc также предоставила обновление через несколько часов, указав на историю транзакций Etherscan, которая показала, что хакеры смогли украсть 204 ETH, что на момент написания статьи составляло примерно 259 800 долларов.
«Интересное событие атаки, контракту TransactionRequestCore четыре года, он принадлежит проекту ethereum-будильник, этому проекту семь лет, хакеры действительно нашли такой старый код для атаки», — отметили в фирме.
2/ Функция отмены вычисляет комиссию за транзакцию (газ uesd * цена газа), которая будет потрачена с «использованным газом» более 85000, и передает ее вызывающему абоненту. pic.twitter.com/aXyad0oDPv
— Превосходство Inc. (@Supremacy_CA) 19 октября 2022 г.
В настоящее время не хватает обновлений по этой теме, чтобы определить, продолжается ли взлом, исправлена ли ошибка или завершена ли атака. Это развивающаяся история, и Cointelegraph будет предоставлять обновления по мере ее развития.
Несмотря на то, что октябрь обычно ассоциируется с бычьими действиями, в этом месяце до сих пор было много взломов. Согласно отчету Chainalysis от 13 октября, уже было Взломщики украли 718 миллионов долларов в октябре, что делает его самым большим месяцем хакерской активности в 2022 году.
