Um bug no código de contrato inteligente para o serviço Ethereum Alarm Clock foi explorado, com quase US $ 260,000 que foram roubados do protocolo até agora.
O Ethereum Alarm Clock permite que os usuários programem transações futuras pré-determinando o endereço do destinatário, o valor enviado e o horário desejado da transação. Os usuários devem ter o Ether necessário (ETH) disponível para concluir a transação e precisa pagar as taxas de gás antecipadamente.
De acordo com uma postagem no Twitter de 19 de outubro da empresa de análise de dados e segurança blockchain PeckShield, os hackers conseguiram explorar uma brecha no processo de transação agendada, o que lhes permite lucrar com as taxas de gás devolvidas de transações canceladas.
Em termos simples, os invasores essencialmente chamaram funções de cancelamento em seus contratos Ethereum Alarm Clock com taxas de transação infladas. Como o protocolo estabelece um reembolso de taxa de gás para transações canceladas, um bug no contrato inteligente está reembolsando aos hackers um valor maior de taxas de gás do que o inicialmente pago, permitindo que eles embolsem a diferença.
“Confirmamos uma exploração ativa que faz uso do enorme preço do gás para enganar o contrato TransactionRequestCore por recompensa ao custo do proprietário original. De fato, a exploração paga 51% do lucro ao minerador, daí essa enorme recompensa do MEV-Boost ”, escreveu a empresa.
Confirmamos uma exploração ativa que faz uso do enorme preço do gás para enganar o contrato TransactionRequestCore por recompensa ao custo do proprietário original. De fato, a exploração paga 51% do lucro ao minerador, daí essa enorme recompensa do MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) 19 de outubro de 2022
PeckShield acrescentou na época que havia detectado 24 endereços que estavam explorando o bug para coletar as supostas “recompensas”.
A empresa de segurança Web3 Supremacy Inc também forneceu uma atualização algumas horas depois, apontando para o histórico de transações do Etherscan que mostrava que os hackers conseguiram roubar 204 ETH, no valor de aproximadamente US $ 259,800 no momento da redação.
“Evento de ataque interessante, o contrato TransactionRequestCore tem quatro anos, pertence ao projeto ethereum-alarm-clock, este projeto tem sete anos, os hackers realmente encontraram um código tão antigo para atacar”, observou a empresa.
2/ A função cancelar calcula a Taxa de Transação (gás uesd * preço do gás) a ser gasto com o “gás usado” acima de 85000 e transfere para o chamador. pic.twitter.com/aXyad0oDPv
- Supremacy Inc. 19 de outubro de 2022
Do jeito que está, faltam atualizações sobre o tópico para determinar se o hack está em andamento, se o bug foi corrigido ou se o ataque foi concluído. Esta é uma história em desenvolvimento e o Cointelegraph fornecerá atualizações à medida que se desenrolar.
Apesar de outubro geralmente ser um mês associado a ações de alta, este mês até agora tem sido repleto de hacks. De acordo com um relatório da Chainalysis de 13 de outubro, já havia US$ 718 milhões roubados de hacks em outubro, tornando-se o maior mês para atividades de hackers em 2022.
Fonte: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far