Будильник Ethereum націлений на Hacktober

Сервіс Ethereum Alarm Clock став жертвою останнього експлойту Hacktober, що призвело до збитків на суму 260,000 XNUMX доларів США. 

PeckShield повідомляє про атаку будильника

Близько $260,000 XNUMX ETH було виведено, коли хакери скористалися помилкою в коді смарт-контракту для служби Ethereum Alarm Clock. Ця новина вперше була оприлюднена компанією з безпеки блокчейну та аналітики даних PeckShield, яка виявила, що хакерам вдалося маніпулювати лазівкою в коді планування, дозволяючи їм отримувати прибуток від повернення плати за газ за скасовані транзакції. Наразі протокол можна використовувати для планування майбутніх транзакцій шляхом введення адреси одержувача, суми коштів для переказу та часу транзакції. Користувачі повинні мати необхідну кількість ефіру, щоб сплатити комісію за газ наперед. У разі скасування транзакцій утримані збори за газ повертаються на вихідний гаманець.

Пояснення механізму використання

Механізм експлойту можна описати таким чином, що зловмисники викликають функції скасування своїх контрактів Ethereum Alarm Clock із завищеними комісіями за транзакції. Помилка в смарт-контракті полягала в тому, що зловмисникам повертали більшу вартість газу, ніж те, що вони спочатку заплатили. PeckShield повідомила, що 51% цього роздутого відшкодування було виплачено майнерам, таким чином збільшуючи їх витягувану цінність (MEV). 

Фірма твітнула, 

«Ми підтвердили активний експлойт, який використовує величезну ціну на газ для отримання винагороди за контрактом TransactionRequestCore за рахунок початкового власника. Фактично, експлойт виплачує 51% прибутку майнеру, отже, ця величезна винагорода MEV-Boost».

За даними іншої охоронної фірми, Supremacy Inc., експлойт призвів до втрати близько 204 ETH. 

Hacktober продовжується

У 2022 році вже була здійснена рекордна кількість зломів DeFi. Атака Alarm Clock є останньою в довгій низці зломів протоколів, які використовували помилки в кодах смарт-контрактів, особливо в жовтні, який також називають Hacktober. Недавно, Ринок Мула було зламано на 9 мільйонів доларів шляхом маніпулювання ціною рідного токена MOO протоколу кредитування шляхом придбання токена на суму 45,000 500,000 доларів США та внесення його як заставу для запозичення токенів CELO. На щастя, хакер повернув більшу частину коштів, зберігши XNUMX XNUMX доларів як винагороду за баг. Інші протоколи, які використовувалися цього жовтня, включають Гаманець BitKeep і протокол DeFi Соврин, які обидва втратили близько мільйона доларів кожен. Однак найбільш заслуговує на увагу Ринки манго хак, у результаті якого кошти на суму 117 доларів США були виведені з кредитної платформи на другому тижні Hacktober. 

Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.