以太坊 Alarm Clock 漏洞导致 26 万美元的Gas费被盗

Cointelegraph中文 阅读 8442 2022-10-20 14:34
分享至
微信扫一扫,打开网页后点击屏幕右上角分享按钮

Web3 安全公司 Supremacy 强调了 ETHerscan 交易历史,显示黑客迄今为止盗刷 204 ETH 的Gas费,价值约 259,800 美元。

据报道,以太坊 Alarm Clock 服务的智能合约代码中的一个错误已被利用,据说到目前为止已从协议中窃取了近 260,000 美元。

以太坊 Alarm Clock 使用户能够通过预先确定接收方地址、发送金额和所需的交易时间来安排未来的交易。用户必须拥有所需的 Ether (以太坊)完成交易并需要预先支付Gas费用。

根据区块链安全和数据分析公司 PeckShield 10 月 19 日的 Twitter 帖子,黑客设法利用预定交易过程中的漏洞,使他们能够从取消交易的返还Gas费中获利。

简单来说,攻击者本质上是在他们的以太坊 Alarm Clock 合约上调用取消函数,并增加了交易费用。随着协议为取消的交易提供Gas费退款,智能合约中的一个错误一直在向黑客退还比他们最初支付的Gas费更高的价值,从而使他们能够将差额收入囊中。

“我们已经确认了一个积极的利用,它利用巨大的 gas 价格来游戏 TransactionRequestCore 合约以获取原始所有者的奖励。事实上,该漏洞利用向矿工支付了 51% 的利润,因此获得了巨额的 MEV-Boost 奖励,”该公司写道。

我们已经确认了一个积极的利用,它利用巨大的 gas 价格来游戏 TransactionRequestCore 合约以获取原始所有者的奖励。事实上,漏洞利用将 51% 的利润支付给了矿工,因此获得了巨大的 MEV-Boost 奖励。

— PeckShield Inc. (@peckshield) 2022 年 10 月 19 日

PeckShield 当时补充说,它发现了 24 个地址,这些地址一直在利用该漏洞来收集所谓的“奖励”。

几个小时后,Web3 安全公司 Supremacy Inc 也提供了更新,指出 Etherscan 交易历史显示黑客迄今为止能够刷掉 204 个 ETH,在撰写本文时价值约 259,800 美元。

“有趣的攻击事件,TransactionRequestCore 合约已有四年历史,属于以太坊 Alarm Clock 项目,该项目已有七年历史,黑客居然发现了这么旧的代码进行攻击,”该公司指出。

2/ 取消函数计算“gas used”超过85000需要花费的交易费(gas uesd * gas price),并转给调用者。— Supremacy Inc. (@Supremacy_CA) 2022 年 10 月 19 日

就目前而言,缺乏关于该主题的更新来确定黑客是否正在进行、漏洞是否已被修补或攻击是否已经结束。这是一个发展中的故事,Cointelegraph 将在其展开时提供更新。

尽管 10 月通常是与看涨行为相关的月份,但到目前为止,这个月一直充斥着黑客行为。根据 10 月 13 日的一份 Chainalysis 报告,10 月份已经有7.18 亿美元的黑客被盗,这使其成为 2022 年黑客活动最多的月份。

btcfans公众号

微信扫描关注公众号,及时掌握新动向

免责声明:
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
标签: 黑客 以太坊
上一篇:英国通货膨胀率飙升至 40 年高点,这对比特币意味着什么? 下一篇:盘点6大游戏公会现状:收益下降 急需转型

相关资讯