Ethereum 알람 시계 서비스에 대한 스마트 계약 코드의 버그가 악용된 것으로 보고되었으며, 지금까지 거의 260,000달러가 프로토콜에서 스와이프된 것으로 알려졌습니다.
이더리움 알람 시계를 통해 사용자는 수신자 주소, 보낸 금액 및 원하는 트랜잭션 시간을 미리 결정하여 향후 트랜잭션을 예약할 수 있습니다. 사용자는 필수 Ether(ETH) 거래를 완료하고 가스 요금을 선불로 지불해야 합니다.
블록체인 보안 및 데이터 분석 회사인 PeckShield의 19월 XNUMX일 트위터 게시물에 따르면, 해커는 예정된 거래 프로세스의 허점을 악용하여 취소된 거래에서 반환된 가스 수수료로 이익을 얻을 수 있었습니다.
간단히 말해서 공격자는 본질적으로 이더리움 알람 시계 계약에서 취소 기능을 호출하여 거래 수수료를 부풀렸습니다. 프로토콜이 취소된 거래에 대한 가스 요금 환불을 제공함에 따라 스마트 계약의 버그는 해커에게 처음 지불한 것보다 더 많은 가스 요금을 환불하여 차액을 챙길 수 있게 해줍니다.
“우리는 막대한 가스 가격을 사용하여 원래 소유자의 비용으로 보상을 위해 TransactionRequestCore 계약을 게임하는 적극적인 익스플로잇을 확인했습니다. 사실, 익스플로잇은 수익의 51%를 채굴자에게 지불하므로 이 엄청난 MEV-Boost 보상이 있습니다.”라고 회사는 썼습니다.
우리는 막대한 가스 가격을 사용하여 원래 소유자의 비용으로 보상을 위해 TransactionRequestCore 계약을 게임하는 적극적인 익스플로잇을 확인했습니다. 사실, 익스플로잇은 이익의 51%를 채굴자에게 지불하므로 이 엄청난 MEV-Boost 보상이 있습니다. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) 2022 년 10 월 19 일
PeckShield는 당시 "보상"을 받기 위해 버그를 악용한 24개의 주소를 발견했다고 덧붙였습니다.
Web3 보안 회사인 Supremacy Inc도 몇 시간 후 업데이트를 제공하여 해커가 지금까지 작성 당시 대략 $204 상당의 259,800 ETH를 스와이프할 수 있었음을 보여주는 Etherscan 거래 내역을 지적했습니다.
"흥미로운 공격 이벤트, TransactionRequestCore 계약은 XNUMX년, 이더리움 알람 시계 프로젝트에 속하며, 이 프로젝트는 XNUMX년 동안 해커가 실제로 공격할 그런 오래된 코드를 발견했습니다."라고 회사는 말했습니다.
2/ 취소 기능은 85000 이상의 "사용된 가스"로 지출할 거래 수수료(gas uesd * 가스 가격)를 계산하여 호출자에게 전달합니다. pic.twitter.com/aXyad0oDPv
— 슈프리머시(@Supremacy_CA) 2022 년 10 월 19 일
현재로서는 해킹이 진행 중인지, 버그가 패치되었는지 또는 공격이 종료되었는지 확인하기 위한 주제에 대한 업데이트가 부족했습니다. 이것은 발전하는 이야기이며 Cointelegraph는 전개되는 대로 업데이트를 제공할 것입니다.
13월은 일반적으로 강세 행동과 관련된 달이지만 이번 달은 지금까지 해킹이 만연했습니다. XNUMX월 XNUMX일자 Chainalysis 보고서에 따르면 이미 해킹으로 718억 XNUMX만 달러 도난 2022월로 XNUMX년 해킹 활동이 가장 많은 달이 되었습니다.
출처: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far