Hackerii au atacat Ethereum Alarm Clock, un protocol de contracte inteligent pentru programarea tranzacțiilor Ethereum, reușind să sustragă până la 260.000 USD prin manipularea taxelor de gaz. În mijlocul altor câteva actualizări, hack-ul Ethereum a fost anunțat pentru prima dată pe Twitter de PeckShield Inc., o firmă de securitate și analiză a datelor blockchain, pe 19 octombrie 2022.
În timp ce a anunțat atacul, PeckShield a declarat:
„Am confirmat o exploatare activă care folosește prețul uriaș al gazului pentru a juca contractul TransactionRequestCore pentru recompensă pe costul proprietarului inițial”.
Potrivit PeckShield, hackerii ar putea profita de pe urma taxelor de gaz profitând de o lacună în tranzacțiile programate pe protocol.
Prin exploatarea acestui decalaj, atacatorii au reușit să profite de taxele de gaz, care au fost returnate după anularea tranzacțiilor. Bug-ul a returnat o valoare mai mare a taxelor de gaz decât le-au plătit hackerii, permițându-le să obțină un profit.
Ethereum Alarm Clock este un protocol care permite utilizatorilor să programeze tranzacțiile viitoare prin setarea adresei destinatarului, a sumei trimise și a orei dorite a tranzacției. Utilizatorii trebuie să aibă cantitatea necesară de Ether (ETH) și taxe de gaz pentru a procesa o tranzacție pe acest protocol.
Pentru a efectua hack-ul, atacatorii au folosit taxe de tranzacție umflate pentru a apela funcții de anulare din contractele lor Ethereum Alarm Clock. Din cauza unui defect în contractul inteligent al protocolului, hackerii au putut câștiga recompense mari din rambursarea taxelor de gaz de către protocol pentru tranzacțiile anulate.
„Deoarece minerul primește 51% din câștigul din exploit, MEV-Boost își poate permite să ofere o recompensă mult mai mare”, a explicat PeckShield.
Până ieri după-amiază, PeckShield identificase 24 de adrese care profitaseră de vulnerabilitate pentru a câștiga pretinsele „recompense”.
newsletter crypto bully
CryptoBully este un Newsletter marca Cryptonita unde incercam sa abordam subiectul crypto cu o tenta mai pozitiva – Subscribe si hai cu noi.
Firma de securitate a ecosistemului Web3 Supremacy Inc. a oferit și o actualizare despre hack. Făcând referire la istoricul tranzacțiilor Etherscan a protocolului Ethereum Alarm Clock, Supremacy a declarat că 204 ETH, în valoare de aproximativ 259.800 USD la momentul scrierii, au fost furați.
Explicând hack-ul, Supremacy a remarcat că funcția de anulare a protocolului Ethereum calculează taxa de tranzacție ca gazul utilizat înmulțit cu prețul gazului, care urmează să fie cheltuit cu „gazul folosit” peste 85000 și îl transferă apelantului.
În tweet-ul său, Supremacy Inc. a descris hack-ul ca fiind interesant, menționând că codul folosit în proiectul ceasului cu alarmă Ethereum avea aproximativ patru ani și că a fost amuzant că hackerii au dezgropat un cod atât de vechi pentru a-l ataca.