Сообщается, что ошибка в коде смарт-контракта для службы будильника Ethereum была использована, и на данный момент из протокола было украдено почти 260 000 долларов.
Будильник Ethereum позволяет пользователям планировать будущие транзакции, заранее определяя адрес получателя, отправленную сумму и желаемое время транзакции. Пользователи должны иметь необходимый эфир (ETH) под рукой для завершения транзакции и должны заранее оплатить комиссию за газ.
Согласно сообщению в Твиттере от 19 октября компании PeckShield, занимающейся безопасностью и анализом данных, хакерам удалось использовать лазейку в запланированном процессе транзакций, которая позволяет им получать прибыль от возвращенных сборов за газ от отмененных транзакций.
Проще говоря, злоумышленники, по сути, вызвали функции отмены в своих контрактах Ethereum Alarm Clock с завышенной комиссией за транзакцию. Поскольку протокол возвращает комиссию за газ для отмененных транзакций, ошибка в смарт-контракте возмещает хакерам большую сумму сборов за газ, чем они изначально заплатили, что позволяет им присвоить разницу.
«Мы подтвердили активный эксплойт, который использует огромную цену на газ для игры с контрактом TransactionRequestCore за вознаграждение за счет первоначального владельца. Фактически, эксплойт выплачивает майнеру 51% прибыли, отсюда и эта огромная награда MEV-Boost», — написала фирма.
https://platform.twitter.com/widgets.js
В то время PeckShield добавил, что обнаружил 24 адреса, которые использовали ошибку для получения предполагаемых «наград».
Через несколько часов отдел безопасности Web3 Supremacy Inc также предоставил обновление, указав на историю транзакций Etherscan, которая показала, что хакеры смогли украсть 204 ETH, что на момент написания статьи составляло примерно 259 800 долларов.
«Интересное событие атаки, контракту TransactionRequestCore четыре года, он принадлежит проекту ethereum-будильник, этому проекту семь лет, хакеры действительно нашли такой старый код для атаки», — отметили в фирме.
https://platform.twitter.com/widgets.js
В настоящее время не хватает обновлений по этой теме, чтобы определить, продолжается ли взлом, исправлена ли ошибка или атака завершена. Это развивающаяся история, и Cointelegraph будет предоставлять обновления по мере ее развития.
Несмотря на то, что октябрь обычно ассоциируется с бычьими действиями, в этом месяце до сих пор было много взломов. Согласно отчету Chainalysis от 13 октября, в октябре в результате хакерских атак уже было украдено 718 миллионов долларов, что делает этот месяц самым крупным для хакерской активности в 2022 году.