„Ethereum“ žadintuvas, skirtas Hacktoberiui

„Ethereum Alarm Clock“ paslauga tapo naujausio „Hacktober“ išnaudojimo auka, dėl kurios buvo patirta 260,000 XNUMX USD nuostolių. 

„PeckShield“ praneša apie žadintuvo ataką

Apytiksliai 260,000 XNUMX USD vertės ETH buvo išleista, kai įsilaužėliai pasinaudojo „Ethereum Alarm Clock“ paslaugos išmaniojo sutarties kodo klaida. Šią naujieną pirmą kartą viešai paskelbė blokų grandinės saugumo ir duomenų analizės bendrovė „PeckShield“, kuri atskleidė, kad įsilaužėliams pavyko manipuliuoti planavimo kodo spraga, leidžiančia pasipelnyti iš grąžintų mokesčių už atšauktas operacijas. Šiuo metu protokolas gali būti naudojamas planuojant būsimas operacijas, įvedant gavėjo adresą, pervestinų lėšų sumą ir operacijos laiką. Naudotojai turi pasilikti reikiamą eterio kiekį, kad galėtų iš anksto sumokėti dujų mokesčius už sandorį. Atšauktų operacijų atveju nuskaičiuoti dujų mokesčiai grąžinami į pradinę piniginę.

Paaiškintas išnaudojimo mechanizmas

Išnaudojimo mechanizmą galima apibendrinti taip, kad užpuolikai iškviečia atšaukimo funkcijas savo Ethereum žadintuvo sutartyse su išpūstais operacijų mokesčiais. Išmaniosios sutarties klaida kaltininkams grąžino didesnę dujų mokesčių sumą nei jie iš pradžių sumokėjo. „PeckShield“ pranešė, kad 51% šios išpūstos grąžinamosios išmokos buvo išmokėta kalnakasiams, taip padidinant jų išgaunamą vertę (MEV). 

Įmonė tviteryje paskelbė, 

„Patvirtinome aktyvų išnaudojimą, kuris panaudoja didžiulę dujų kainą, kad būtų galima pasinaudoti TransactionRequestCore sutartimi už atlygį pradinio savininko sąskaita. Tiesą sakant, už eksploataciją kalnakasiui sumokama 51% pelno, todėl šis didžiulis MEV-Boost atlygis.

Pasak kitos saugos įmonės „Supremacy Inc.“, dėl išnaudojimo buvo prarasta maždaug 204 ETH. 

Hacktober tęsiasi

2022 m. jau užfiksuotas rekordinis DeFi įsilaužimų skaičius. Žadintuvo ataka yra naujausia iš daugybės protokolų įsilaužimų, kurie išnaudojo išmaniųjų sutarčių kodų klaidas, ypač spalio mėnesį, kuris taip pat vadinamas Hacktober. Visai neseniai, Moola turgus buvo įsilaužta už 9 milijonus dolerių, manipuliuojant skolinimo protokolo vietinio MOO žetono kaina, nusipirkus 45,000 500,000 USD vertės žetoną ir įnešant jį kaip užstatą norint pasiskolinti CELO žetonus. Laimei, įsilaužėlis grąžino didžiąją dalį lėšų ir pasiliko XNUMX XNUMX USD kaip atlygį už klaidas. Kiti protokolai, kurie buvo panaudoti šį spalį, apima BitKeep piniginė ir DeFi protokolas Sovrynas, kurios abu prarado apie milijoną dolerių. Tačiau labiausiai vertas dėmesio yra „Mango“ rinkos įsilaužimo, dėl kurio antrąją Hacktober savaitę iš skolinimo platformos buvo išimtos 117 USD vertės lėšos. 

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams tikslams. Jis nėra siūlomas ir nėra skirtas naudoti kaip teisinis, mokesčių, investicijų, finansinis ar kitas patarimas.