Ethereum Alarm Clock サービスのスマート コントラクト コードのバグが悪用されたと報告されており、これまでに約 260,000 ドルがプロトコルから盗まれたと言われています。
イーサリアム アラーム クロックを使用すると、ユーザーは、受信者のアドレス、送信金額、トランザクションの希望時間を事前に決定することで、将来のトランザクションをスケジュールできます。 ユーザーは必要な Ether (ETH) を手元に用意してトランザクションを完了し、ガス料金を前払いする必要があります。
19 月 XNUMX 日のブロックチェーン セキュリティおよびデータ分析会社 PeckShield の Twitter 投稿によると、ハッカーはスケジュールされたトランザクション プロセスの抜け穴を悪用し、キャンセルされたトランザクションから返されたガス料金で利益を上げることができました。
簡単に言えば、攻撃者は基本的に、イーサリアム アラーム クロック コントラクトのキャンセル関数を、高額なトランザクション料金で呼び出しました。 プロトコルがキャンセルされたトランザクションのガス料金の払い戻しを行うため、スマート コントラクトのバグにより、ハッカーが最初に支払ったよりも多くのガス料金が払い戻され、差額をポケットに入れることができます。
「巨額のガス価格を利用して、元の所有者を犠牲にして報酬を得るために TransactionRequestCore コントラクトを操作するアクティブなエクスプロイトを確認しました。 実際、エクスプロイトは利益の 51% をマイナーに支払うため、この巨大な MEV-Boost の報酬が得られます」と同社は書いています。
莫大なガス価格を利用して、元の所有者を犠牲にして報酬を得るために TransactionRequestCore コントラクトを操作するアクティブなエクスプロイトを確認しました。 実際、エクスプロイトは利益の 51% をマイナーに支払うため、この莫大な MEV-Boost 報酬が得られます。 https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc.(@peckshield) 2022 年 10 月 19 日
PeckShield は当時、バグを悪用して想定される「報酬」を集めていた 24 のアドレスを発見したと付け加えました。
Web3 セキュリティ会社の Supremacy Inc も数時間後に最新情報を提供し、ハッカーがこれまでに 204 ETH (執筆時点で約 259,800 ドル相当) をスワイプできたことを示す Etherscan トランザクション履歴を指摘しました。
「興味深い攻撃イベントです。TransactionRequestCore コントラクトは XNUMX 年前のもので、ethereum-alarm-clock プロジェクトに属しており、このプロジェクトは XNUMX 年前のもので、ハッカーは攻撃対象の古いコードを実際に発見しました」と同社は述べています。
2/ キャンセル機能は、85000 を超える「ガス使用量」で費やされるトランザクション料金 (gas uesd * ガス価格) を計算し、それを発信者に転送します。 pic.twitter.com/aXyad0oDPv
— スプレマシー株式会社(@Supremacy_CA) 2022 年 10 月 19 日
現状では、ハッキングが進行中かどうか、バグにパッチが適用されているかどうか、または攻撃が終了したかどうかを判断するためのトピックに関する更新が不足しています. これは発展途上の話であり、コインテレグラフはその進展に合わせて最新情報を提供します。
13月は一般的に強気の動きに関連する月ですが、今月はこれまでのところハッキングが多発しています. XNUMX 月 XNUMX 日の Chainalysis のレポートによると、すでに ハッキングで 718 億 XNUMX 万ドルが盗まれた 2022 年で最もハッキング活動が活発な月となりました。
ソース: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far