Ethereum Budík cielený v Hacktober

Služba Ethereum Alarm Clock sa stala obeťou najnovšieho zneužitia Hacktoberu, čo má za následok straty v hodnote 260,000 XNUMX dolárov. 

PeckShield hlási útok budíka

ETH v hodnote okolo 260,000 XNUMX dolárov bolo odčerpaných, keď hackeri zneužili chybu v kóde inteligentnej zmluvy pre službu Ethereum Alarm Clock. Správu po prvýkrát priniesla verejnosti spoločnosť PeckShield, ktorá sa zaoberá zabezpečením blockchainu a analýzou údajov, ktorá odhalila, že hackerom sa podarilo zmanipulovať medzeru v plánovacom kóde, čo im umožnilo profitovať z vrátených poplatkov za plyn pri zrušených transakciách. V súčasnosti je možné protokol použiť na plánovanie budúcich transakcií zadaním adresy príjemcu, množstva prostriedkov, ktoré sa majú previesť, a času transakcie. Používatelia si musia ponechať potrebné množstvo éteru na zaplatenie poplatkov za plyn za transakciu vopred. V prípade zrušených transakcií sú zrazené poplatky za plyn vrátené do pôvodnej peňaženky.

Vysvetlenie mechanizmu využívania

Mechanizmus využívania možno zhrnúť tak, že útočníci volajú funkcie zrušenia na svojich zmluvách s budíkom Ethereum s nafúknutými transakčnými poplatkami. Chybou v inteligentnej zmluve je vrátenie vyššej hodnoty poplatkov za plyn, ako pôvodne zaplatili. Spoločnosť PeckShield uviedla, že 51 % tejto nafúknutej refundácie bolo vyplatených baníkom, čím sa zvýšila ich hodnota extrahovateľnej bane (MEV). 

Firma tweetovala, 

„Potvrdili sme aktívny exploit, ktorý využíva obrovskú cenu plynu na hranie zmluvy TransactionRequestCore za odmenu na náklady pôvodného vlastníka. V skutočnosti, exploit vypláca 51 % zisku baníkovi, a preto táto obrovská odmena MEV-Boost.“

Podľa inej bezpečnostnej firmy, Supremacy Inc., zneužitie viedlo k strate približne 204 ETH. 

Hacktober pokračuje

Rok 2022 už zaznamenal rekordný počet DeFi hackov. Útok Alarm Clock je najnovším z dlhého radu protokolových hackov, ktoré využili chyby v kódoch inteligentných zmlúv, najmä v mesiaci október, ktorý sa tiež nazýva Hacktober. Nedávno, Trh Moola bola napadnutá za 9 miliónov dolárov manipuláciou s cenou natívneho tokenu MOO protokolu požičiavania zakúpením tokenu v hodnote 45,000 500,000 dolárov a jeho uložením ako kolaterál na požičanie tokenov CELO. Našťastie hacker vrátil väčšinu prostriedkov, pričom si ponechal XNUMX XNUMX dolárov ako odmenu za chyby. Medzi ďalšie protokoly, ktoré boli zneužité tento október, patrí Peňaženka BitKeep a protokolom DeFi Sovryn, ktoré obe prišli o približne milión dolárov. Najpozoruhodnejší je však Mangové trhy hack, čo malo za následok odčerpanie prostriedkov v hodnote 117 dolárov z požičiavacej platformy v druhom týždni Hacktoberu. 

Zrieknutie sa zodpovednosti: Tento článok je poskytovaný iba na informačné účely. Nie je ponúkané ani určené na použitie ako právne, daňové, investičné, finančné alebo iné poradenstvo.