Secondo quanto riferito, è stato sfruttato un bug nel codice del contratto intelligente per il servizio Ethereum Alarm Clock, con quasi $ 260,000 che si dice siano stati cancellati dal protocollo finora.
La sveglia di Ethereum consente agli utenti di programmare transazioni future predeterminando l'indirizzo del destinatario, l'importo inviato e l'ora desiderata della transazione. Gli utenti devono avere l'Ether richiesto (ETH) a disposizione per completare la transazione e devono pagare anticipatamente le tariffe del gas.
Secondo un post su Twitter del 19 ottobre della società di sicurezza blockchain e analisi dei dati PeckShield, gli hacker sono riusciti a sfruttare una scappatoia nel processo di transazione programmato, che consente loro di realizzare un profitto sulle commissioni del gas restituite dalle transazioni annullate.
In parole povere, gli aggressori hanno essenzialmente chiamato le funzioni di annullamento sui loro contratti Ethereum Alarm Clock con commissioni di transazione gonfiate. Poiché il protocollo prevede un rimborso della tariffa del gas per le transazioni annullate, un bug nel contratto intelligente ha rimborsato agli hacker un valore maggiore delle tariffe del gas rispetto a quanto inizialmente pagato, consentendo loro di intascare la differenza.
“Abbiamo confermato un exploit attivo che utilizza l'enorme prezzo del gas per giocare il contratto TransactionRequestCore in cambio di una ricompensa al costo del proprietario originale. In effetti, l'exploit paga il 51% del profitto al minatore, da qui questo enorme premio MEV-Boost", ha scritto l'azienda.
Abbiamo confermato un exploit attivo che utilizza l'enorme prezzo del gas per giocare con il contratto TransactionRequestCore in cambio di una ricompensa al costo del proprietario originale. In effetti, l'exploit paga il 51% del profitto al minatore, da qui questo enorme premio MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Ottobre 19, 2022
PeckShield ha aggiunto all'epoca, aveva individuato 24 indirizzi che avevano sfruttato il bug per raccogliere le presunte "ricompense".
Anche la società di sicurezza Web3 Supremacy Inc ha fornito un aggiornamento poche ore dopo, indicando la cronologia delle transazioni Etherscan che mostrava che gli hacker sono stati finora in grado di spazzare 204 ETH, per un valore di circa $ 259,800 al momento della scrittura.
"Evento di attacco interessante, il contratto TransactionRequestCore ha quattro anni, appartiene al progetto ethereum-alarm-clock, questo progetto ha sette anni, gli hacker hanno effettivamente trovato un codice così vecchio per attaccare", ha osservato l'azienda.
2/ La funzione di annullamento calcola la Commissione di transazione (gas uesd * prezzo gas) da spendere con il “gas utilizzato” superiore a 85000 e la trasferisce al chiamante. pic.twitter.com/aXyad0oDPv
— Supremazia Inc. (@Supremacy_CA) Ottobre 19, 2022
Allo stato attuale, mancano aggiornamenti sull'argomento per determinare se l'hacking è in corso, se il bug è stato corretto o se l'attacco è concluso. Questa è una storia in via di sviluppo e Cointelegraph fornirà aggiornamenti man mano che si svolge.
Nonostante ottobre sia generalmente un mese associato all'azione rialzista, questo mese finora è stato ricco di hack. Secondo un rapporto di Chainalysis del 13 ottobre, c'era già stato $ 718 milioni rubati dagli hack nel mese di ottobre, diventando così il mese più importante per l'attività di hacking nel 2022.
Fonte: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far