Pranešama, kad buvo išnaudota „Ethereum Alarm Clock“ paslaugos išmaniojo sutarties kodo klaida, o iki šiol iš protokolo buvo išbraukta beveik 260,000 XNUMX USD.
Ethereum žadintuvas leidžia vartotojams planuoti būsimas operacijas iš anksto nustatant gavėjo adresą, išsiųstą sumą ir pageidaujamą operacijos laiką. Vartotojai turi turėti reikiamą eterį (ETH) atlikti sandorį ir iš anksto sumokėti dujų mokesčius.
Spalio 19 d. „Twitter“ įraše iš „blockchain“ saugumo ir duomenų analizės įmonės „PeckShield“, įsilaužėliams pavyko išnaudoti spragą suplanuoto sandorio procese, leidžiantį gauti pelno iš grąžintų dujų mokesčių iš atšauktų sandorių.
Paprastais žodžiais tariant, užpuolikai iš esmės pavadino savo „Ethereum Alarm Clock“ sutarčių atšaukimo funkcijas su padidintais operacijos mokesčiais. Protokole grąžinant dujų mokestį už atšauktas operacijas, išmaniosios sutarties klaida įsilaužėliams grąžino didesnę dujų mokesčių sumą, nei jie sumokėjo iš pradžių, todėl jie galėjo susigrąžinti skirtumą.
„Patvirtinome aktyvų išnaudojimą, kuris panaudoja didžiulę dujų kainą, kad būtų galima žaisti „TransactionRequestCore“ sutartyje už atlygį pradinio savininko sąskaita. Tiesą sakant, už eksploataciją kalnakasiui sumokama 51% pelno, taigi ir šis didžiulis MEV-Boost atlygis“, – rašė įmonė.
Patvirtinome aktyvų išnaudojimą, kuris panaudoja didžiulę dujų kainą, kad būtų galima žaisti pagal TransactionRequestCore sutartį ir už atlygį pradinio savininko sąskaita. Tiesą sakant, už eksploataciją kalnakasiui sumokama 51% pelno, todėl šis didžiulis MEV-Boost atlygis. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- „PeckShield Inc.“ (@peckshield) Spalis 19, 2022
Tuo metu „PeckShield“ pridūrė, kad ji pastebėjo 24 adresus, kurie išnaudojo klaidą, kad gautų tariamą „atlygį“.
„Web3“ saugos įmonė „Supremacy Inc“ taip pat pateikė atnaujinimą po kelių valandų, nurodydama „Etherscan“ operacijų istoriją, kuri parodė, kad įsilaužėlis (-iai) iki šiol galėjo perbraukti 204 ETH, o šio rašymo metu vertė buvo maždaug 259,800 XNUMX USD.
„Įdomus atakos įvykis, „TransactionRequestCore“ sutartis yra ketverių metų senumo, ji priklauso ethereum-žadintuvo projektui, šiam projektui septyneri metai, įsilaužėliai iš tikrųjų rado tokį seną kodą atakuoti“, – pažymėjo įmonė.
2/ Atšaukimo funkcija apskaičiuoja Operacijos mokestį (dujų uesd * dujų kaina), kurį reikia išleisti su „sunaudotomis dujomis“ viršijant 85000 XNUMX, ir perveda jį skambinančiajam. pic.twitter.com/aXyad0oDPv
– Supremacy Inc. (@Supremacy_CA) Spalis 19, 2022
Šiuo metu trūksta atnaujinimų šia tema, kad būtų galima nustatyti, ar įsilaužimas vyksta, ar klaida buvo pataisyta, ar ataka baigėsi. Tai besivystanti istorija, o „Cointelegraph“ pateiks atnaujinimus, kai ji vystysis.
Nepaisant to, kad spalis paprastai buvo susijęs su veržlumu, šis mėnuo iki šiol buvo gausus įsilaužimų. Pagal Spalio 13 d. „Chainalysis“ ataskaitą, tokių jau buvo Iš įsilaužimų pavogta 718 mln spalį, todėl tai buvo didžiausias įsilaužimo mėnuo 2022 m.
Šaltinis: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far