Sveglia di Ethereum presa di mira in Hacktober

Il servizio Ethereum Alarm Clock è caduto vittima dell'ultimo exploit di Hacktober con conseguenti perdite per un valore di $ 260,000. 

PeckShield segnala un attacco alla sveglia

Circa $ 260,000 di ETH sono stati sottratti quando gli hacker hanno sfruttato un bug nel codice del contratto intelligente per il servizio Ethereum Alarm Clock. La notizia è stata resa pubblica per la prima volta dalla società di sicurezza blockchain e analisi dei dati PeckShield, che ha rivelato che gli hacker erano riusciti a manipolare una scappatoia nel codice di programmazione, consentendo loro di trarre profitto dalle commissioni del gas restituite sulle transazioni annullate. Attualmente, il protocollo può essere utilizzato per programmare transazioni future inserendo l'indirizzo del destinatario, l'importo dei fondi da trasferire e l'ora della transazione. Gli utenti devono mantenere la quantità necessaria di Ether per pagare le commissioni del gas per la transazione in anticipo. In caso di transazioni annullate, le commissioni gas detratte vengono rimborsate al portafoglio di origine.

Spiegazione del meccanismo di sfruttamento

Il meccanismo di exploit può essere riassunto come gli aggressori che chiamano funzioni di annullamento sui loro contratti Ethereum Alarm Clock con commissioni di transazione gonfiate. Un bug nel contratto intelligente è stato il rimborso agli autori di tasse per il gas di un valore superiore a quello inizialmente pagato. PeckShield ha riferito che il 51% di questo enorme rimborso è stato pagato ai minatori, aumentando così il loro Miner Extractable Value (MEV). 

L'azienda ha twittato 

“Abbiamo confermato un exploit attivo che utilizza l'enorme prezzo del gas per giocare con il contratto TransactionRequestCore in cambio di una ricompensa a spese del proprietario originale. In effetti, l'exploit paga il 51% del profitto al minatore, da qui questa enorme ricompensa MEV-Boost".

Secondo un'altra società di sicurezza, Supremacy Inc., l'exploit ha comportato una perdita di circa 204 ETH. 

Hacktober continua

Il 2022 ha già visto un numero record di hack DeFi. L'attacco Alarm Clock è l'ultimo di una lunga serie di hack di protocollo che hanno sfruttato i bug nei codici degli smart contract, soprattutto nel mese di ottobre, che viene anche soprannominato Hacktober. Più recentemente, Mercato Moola è stato violato per $ 9 milioni manipolando il prezzo del token MOO nativo del protocollo di prestito acquistando $ 45,000 del token e depositandolo come garanzia per prendere in prestito token CELO. Per fortuna l'hacker ha restituito la maggior parte dei fondi pur conservando $ 500,000 come taglia di bug. Altri protocolli che sono stati sfruttati questo ottobre includono il Portafoglio BitKeep e protocollo DeFi Sovrin, che hanno perso entrambi circa un milione di dollari ciascuno. Tuttavia, il più degno di nota è il Mercati di mango hack, che ha portato alla sottrazione di fondi per un valore di $ 117 dalla piattaforma di prestito nella seconda settimana di Hacktober. 

Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.