გავრცელებული ინფორმაციით, გამოყენებული იქნა Ethereum Alarm Clock სერვისის ჭკვიანი კონტრაქტის კოდში არსებული ხარვეზი, რომლის შესახებაც ნათქვამია, რომ ამ დრომდე პროტოკოლიდან ამოღებულია თითქმის $260,000.
Ethereum მაღვიძარა საშუალებას აძლევს მომხმარებლებს დაგეგმონ სამომავლო ტრანზაქციები მიმღების მისამართის, გაგზავნილი თანხის და ტრანზაქციის სასურველი დროის წინასწარ განსაზღვრით. მომხმარებლებს უნდა ჰქონდეთ საჭირო ეთერი (ETH) მზად არის ტრანზაქციის დასასრულებლად და უნდა გადაიხადოს გაზის საფასური წინასწარ.
ბლოკჩეინის უსაფრთხოებისა და მონაცემთა ანალიტიკური ფირმის PeckShield-ის 19 ოქტომბრის Twitter-ის პოსტის მიხედვით, ჰაკერებმა მოახერხეს დაგეგმილი ტრანზაქციის პროცესში არსებული ხარვეზის გამოყენება, რაც მათ საშუალებას აძლევს მიიღონ მოგება გაუქმებული ტრანზაქციებიდან დაბრუნებული გაზის საფასურიდან.
მარტივი სიტყვებით, თავდამსხმელებმა არსებითად უწოდეს გაუქმების ფუნქციები თავიანთ Ethereum Alarm Clock-ის კონტრაქტებზე გაბერილი ტრანზაქციის საკომისიოებით. იმის გამო, რომ პროტოკოლი ითვალისწინებს გაუქმებული ტრანზაქციების გაზის საფასურის ანაზღაურებას, სმარტ კონტრაქტში არსებული ხარვეზი ჰაკერებს უბრუნებს გაზის გადასახადის უფრო დიდ ოდენობას, ვიდრე თავდაპირველად გადაიხადეს, რაც მათ საშუალებას აძლევს ჯიბეში აიღონ სხვაობა.
„ჩვენ დავადასტურეთ აქტიური ექსპლოიტი, რომელიც იყენებს გაზის უზარმაზარ ფასს TransactionRequestCore კონტრაქტის სათამაშოდ თავდაპირველი მფლობელის ფასად. ფაქტობრივად, ექსპლოიტი მოგების 51%-ს უხდის მაინერს, აქედან გამომდინარეობს ეს უზარმაზარი MEV-Boost ჯილდო“, - წერს ფირმა.
ჩვენ დავადასტურეთ აქტიური ექსპლოიტი, რომელიც იყენებს გაზის უზარმაზარ ფასს TransactionRequestCore კონტრაქტის სათამაშოდ ორიგინალური მფლობელის ხარჯზე. ფაქტობრივად, ექსპლოიტი უხდის მოგების 51%-ს მაინერს, აქედან გამომდინარეობს ეს უზარმაზარი MEV-Boost ჯილდო. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) ოქტომბერი 19, 2022
PeckShield-მა დაამატა იმ დროს, რომ მან დააფიქსირა 24 მისამართი, რომლებიც იყენებდნენ შეცდომას სავარაუდო „ჯილდოების“ მოსაგროვებლად.
Web3 უსაფრთხოების ფირმა Supremacy Inc-მა ასევე მიაწოდა განახლება რამდენიმე საათის შემდეგ, მიუთითა Etherscan ტრანზაქციის ისტორიაზე, რომელიც აჩვენა, რომ ჰაკერ(ებ)ს აქამდე შეეძლო 204 ETH გადაფურცვლა, რაც წერის დროს დაახლოებით $259,800 ღირს.
„საინტერესო თავდასხმის მოვლენა, TransactionRequestCore კონტრაქტი ოთხი წლისაა, ის ეკუთვნის ethereum-alarm-clock პროექტს, ეს პროექტი შვიდი წლისაა, ჰაკერებმა რეალურად იპოვეს ასეთი ძველი კოდი თავდასხმისთვის“, - აღნიშნა ფირმა.
2/ გაუქმების ფუნქცია ითვლის ტრანზაქციის საკომისიოს (გაზის უსდ * გაზის ფასი), რომელიც უნდა დაიხარჯოს 85000-ზე მეტი „გამოყენებული გაზით“ და გადასცემს მას აბონენტს. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) ოქტომბერი 19, 2022
როგორც დგას, არ იყო განახლებების ნაკლებობა თემაზე, რათა დადგინდეს, მიმდინარეობს თუ არა ჰაკინგი, შესწორებულია თუ არა შეტევა, თუ შეტევა დასრულდა. ეს არის განვითარებადი ამბავი და Cointelegraph მოგაწვდით განახლებებს, როგორც ის ვითარდება.
მიუხედავად იმისა, რომ ოქტომბერი, როგორც წესი, იყო თვე, რომელიც ასოცირდება აყვავებულ ქმედებებთან, ეს თვე აქამდე იყო სავსე ჰაკერებით. Chainalysis-ის 13 ოქტომბრის ანგარიშის მიხედვით, უკვე იყო ჰაკერებისგან 718 მილიონი დოლარი მოიპარეს ოქტომბერში, რაც მას 2022 წელს ჰაკერული საქმიანობის ყველაზე დიდ თვედ აქცევს.
წყარო: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far