Er is naar verluidt misbruik gemaakt van een bug in de slimme contractcode voor de Ethereum Alarm Clock-service, waarbij tot nu toe bijna $ 260,000 uit het protocol is weggevaagd.
Met de Ethereum Alarm Clock kunnen gebruikers toekomstige transacties plannen door het adres van de ontvanger, het verzonden bedrag en het gewenste tijdstip van de transactie vooraf te bepalen. Gebruikers moeten de vereiste Ether (ETH) bij de hand om de transactie te voltooien en de gaskosten vooraf te betalen.
Volgens een Twitter-bericht van 19 oktober van PeckShield, een bedrijf voor blockchainbeveiliging en gegevensanalyse, zijn hackers erin geslaagd een maas in het geplande transactieproces te misbruiken, waardoor ze winst kunnen maken op geretourneerde gaskosten van geannuleerde transacties.
In eenvoudige bewoordingen noemden de aanvallers in wezen annuleerfuncties op hun Ethereum Alarm Clock-contracten met te hoge transactiekosten. Aangezien het protocol een terugbetaling van gaskosten voor geannuleerde transacties voorschrijft, heeft een bug in het slimme contract de hackers een grotere waarde aan gaskosten terugbetaald dan ze aanvankelijk hadden betaald, waardoor ze het verschil konden incasseren.
“We hebben een actieve exploit bevestigd die gebruik maakt van een enorme gasprijs om het TransactionRequestCore-contract te spelen voor een beloning ten koste van de oorspronkelijke eigenaar. In feite betaalt de exploit 51% van de winst aan de miner, vandaar deze enorme MEV-Boost-beloning”, schreef het bedrijf.
We hebben een actieve exploit bevestigd die gebruik maakt van een enorme gasprijs om het TransactionRequestCore-contract te spelen voor een beloning ten koste van de oorspronkelijke eigenaar. In feite betaalt de exploit de 51% van de winst aan de miner, vandaar deze enorme MEV-Boost-beloning. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) 19 oktober 2022
PeckShield voegde er destijds aan toe dat het 24 adressen had ontdekt die de bug hadden misbruikt om de vermeende "beloningen" te verzamelen.
Web3-beveiligingsbedrijf Supremacy Inc bracht een paar uur later ook een update uit, verwijzend naar de transactiegeschiedenis van Etherscan waaruit bleek dat de hacker(s) tot dusver 204 ETH konden swipen, ter waarde van ongeveer $ 259,800 op het moment van schrijven.
"Interessante aanvalsgebeurtenis, TransactionRequestCore-contract is vier jaar oud, het behoort tot het ethereum-alarm-clock-project, dit project is zeven jaar oud, hackers hebben zo'n oude code gevonden om aan te vallen", merkte het bedrijf op.
2/ De annuleerfunctie berekent de transactiekosten (gasgebruik * gasprijs) die moeten worden uitgegeven met het "gebruikte gas" boven 85000 en draagt deze over aan de beller. pic.twitter.com/aXyad0oDPv
— Suprematie Inc. (@Supremacy_CA) 19 oktober 2022
Zoals het er nu uitziet, zijn er geen updates over het onderwerp geweest om te bepalen of de hack aan de gang is, of de bug is gepatcht of dat de aanval is beëindigd. Dit is een verhaal in ontwikkeling en Cointelegraph zal updates verstrekken naarmate het zich ontvouwt.
Ondanks dat oktober over het algemeen een maand is die wordt geassocieerd met bullish actie, stond deze maand tot nu toe vol met hacks. Volgens een Chainalysis-rapport van 13 oktober waren er al $ 718 miljoen gestolen uit hacks in oktober, waardoor het de grootste maand is voor hackactiviteiten in 2022.
Bron: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far