Ethereum vækkeur målrettet i Hacktober

Ethereum Alarm Clock-tjenesten er blevet offer for den seneste Hacktober-udnyttelse, der resulterer i tab til en værdi af $260,000. 

PeckShield rapporterer vækkeurangreb

Omkring $260,000 værd af ETH blev suget af, da hackere udnyttede en fejl i den smarte kontraktkode for Ethereum Alarm Clock-tjenesten. Nyheden blev først bragt til offentligheden af ​​blockchain-sikkerheds- og dataanalysefirmaet PeckShield, som afslørede, at hackere havde formået at manipulere et smuthul i planlægningskoden, så de kunne drage fordel af returnerede gasgebyrer på annullerede transaktioner. I øjeblikket kan protokollen bruges til at planlægge fremtidige transaktioner ved at indtaste en modtageradresse, mængden af ​​midler, der skal overføres, og tidspunktet for transaktionen. Brugere skal beholde den nødvendige mængde Ether for at betale gasgebyrer for transaktionen på forhånd. I tilfælde af annullerede transaktioner refunderes de fratrukne gasgebyrer til den oprindelige tegnebog.

Udnyttelsesmekanisme forklaret

Udnyttelsesmekanismen kan opsummeres som angribere, der ringer til annulleringsfunktioner på deres Ethereum Alarm Clock-kontrakter med for høje transaktionsgebyrer. En fejl i den smarte kontrakt har refunderet gerningsmændene en højere værdi af gasgebyrer end hvad de oprindeligt betalte. PeckShield rapporterede, at 51 % af denne oppustede refusion blev udbetalt til minearbejdere, hvilket øgede deres Miner Extractable Value (MEV). 

Firmaet tweetede, 

"Vi har bekræftet en aktiv udnyttelse, der gør brug af enorme gaspriser til at spille TransactionRequestCore-kontrakten til belønning på bekostning af den oprindelige ejer. Faktisk betaler udnyttelsen 51% af overskuddet til minearbejderen, derfor denne enorme MEV-Boost-belønning."

Ifølge et andet sikkerhedsfirma, Supremacy Inc., har udnyttelsen resulteret i et tab på omkring 204 ETH. 

Hacktober fortsætter

2022 har allerede set et rekordstort antal DeFi-hack. Alarm Clock-angrebet er det seneste i en lang række af protokolhacks, der har udnyttet fejl i smarte kontraktkoder, især i oktober måned, som også bliver døbt som Hacktober. Seneste, Moola marked blev hacket for 9 millioner dollars ved at manipulere prisen på udlånsprotokollens oprindelige MOO-token ved at købe 45,000 dollars af tokenet og deponere det som sikkerhed for at låne CELO-tokens. Heldigvis returnerede hackeren de fleste af midlerne, mens han beholdt $500,000 som en fejlbelønning. Andre protokoller, der blev udnyttet i oktober, omfatter BitKeep tegnebog og DeFi-protokol Sovryn, som begge tabte omkring en million dollars hver. Det mest bemærkelsesværdige er dog Mangomarkeder hack, hvilket resulterede i, at midler til en værdi af 117 USD blev fjernet fra låneplatformen i den anden uge af Hacktober. 

Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.