據報導,以太坊鬧鐘服務的智能合約代碼中的一個錯誤已被利用,據說到目前為止已從協議中竊取了近260,000 美元。
以太坊鬧鐘使用戶能夠通過預先確定接收方地址、發送金額和所需的交易時間來安排未來的交易。用戶必須手頭有所需的以太幣(ETH)才能完成交易,並且需要預先支付汽油費。
根據區塊鏈安全和數據分析公司PeckShield 10 月19 日的Twitter 帖子,黑客設法利用預定交易過程中的漏洞,使他們能夠從取消交易的返還汽油費中獲利。
簡單來說,攻擊者本質上是在他們的以太坊鬧鐘合約上調用取消函數,並增加了交易費用。隨著協議為取消的交易提供汽油費退款,智能合約中的一個錯誤一直在向黑客退還比他們最初支付的汽油費更高的價值,從而使他們能夠將差額收入囊中。
“我們已經確認了一個積極的利用,它利用巨大的gas 價格來游戲TransactionRequestCore 合約以獲取原始所有者的獎勵。 事實上,該漏洞利用向礦工支付了51% 的利潤,因此獲得了巨額的MEV-Boost 獎勵,”該公司寫道。
我們已經確認了一個積極的利用,它利用巨大的gas 價格來游戲TransactionRequestCore 合約以獲取原始所有者的獎勵。事實上,漏洞利用將51% 的利潤支付給了礦工,因此獲得了巨大的MEV-Boost 獎勵。 https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 2022 年10 月19 日
PeckShield 當時補充說,它發現了24 個地址,這些地址一直在利用該漏洞來收集所謂的“獎勵”。
幾個小時後,Web3 安全公司Supremacy Inc 也提供了更新,指出Etherscan 交易歷史顯示黑客迄今為止能夠刷掉204 個ETH,在撰寫本文時價值約259,800 美元。
“有趣的攻擊事件,TransactionRequestCore 合約已有四年曆史,屬於以太坊鬧鐘項目,該項目已有七年曆史,黑客居然發現了這麼舊的代碼進行攻擊,”該公司指出。
2/ 取消函數計算“gas used”超過85000需要花費的交易費(gas uesd * gas price),並轉給調用者。 pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) 2022 年10 月19 日
就目前而言,缺乏關於該主題的更新來確定黑客是否正在進行、漏洞是否已被修補或攻擊是否已經結束。這是一個發展中的故事,Cointelegraph 將在其展開時提供更新。
儘管10 月通常是與看漲行為相關的月份,但到目前為止,這個月一直充斥著黑客行為。根據10 月13 日的一份Chainalysis 報告,10 月份已經有7.18 億美元的黑客被盜,這使其成為2022 年黑客活動最多的月份。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Brian Quarmby所有,未經許可,不得轉載