Експлойт Ethereum Alarm Clock наразі призвів до сплати вкраденого газу на 260 000 доларів США
Охоронна фірма Web3 Supremacy виявила історію транзакцій Etherscan, яка показала, що хакер(и) наразі спромігся підкинути 204 ETH за газ, що коштує приблизно 259 800 доларів США.
новий
Повідомляється, що була використана помилка в коді смарт-контракту служби Ethereum Alarm Clock, і наразі з протоколу нібито вкрадено майже 260 000 доларів США.
Будильник Ethereum дозволяє користувачам планувати майбутні транзакції, попередньо визначаючи адресу одержувача, надіслану суму та бажаний час транзакції. Користувачі повинні мати ефір (ETH), необхідний для здійснення транзакції, і повинні сплатити комісію за газ заздалегідь.
Згідно з дописом у Twitter компанії PeckShield, що займається безпекою та аналітикою даних у блокчейні, від 19 жовтня, хакерам вдалося використати лазівку в процесі запланованих транзакцій, яка дозволяє їм отримувати прибуток від плати за газ, що повертається зі скасованих транзакцій.
Простіше кажучи, зловмисники по суті викликали функції скасування своїх контрактів Ethereum Alarm Clock із завищеними комісіями за транзакції. У той час як протокол передбачає відшкодування плати за газ за скасовані транзакції, помилка в смарт-контракті повернула хакерам більшу суму комісії за газ, ніж вони спочатку заплатили, що дозволило їм привласнити різницю.
"Ми підтвердили активний експлойт, який використовує величезну ціну на газ, щоб отримати винагороду за контракт TransactionRequestCore за рахунок початкового власника. Насправді експлойт приносить майнеру 51% прибутку, тому це величезна винагорода MEV-Boost", - написала компанія.
Ми підтвердили активний експлойт, який використовує величезну ціну на газ для відтворення контракту TransactionRequestCore за винагороду за рахунок початкового власника. Насправді експлойт виплачує майнеру 51% прибутку, отже, ця величезна винагорода MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 жовтня 2022 рPeckShield додала, що виявила 24 адреси, які використовували помилку для отримання так званих «винагород».
Безпека Web3...
Охоронна фірма Web3 Supremacy виявила історію транзакцій Etherscan, яка показала, що хакер(и) наразі спромігся підкинути 204 ETH за газ, що коштує приблизно 259 800 доларів США.
новий
Повідомляється, що була використана помилка в коді смарт-контракту служби Ethereum Alarm Clock, і наразі з протоколу нібито вкрадено майже 260 000 доларів США.
Будильник Ethereum дозволяє користувачам планувати майбутні транзакції, попередньо визначаючи адресу одержувача, надіслану суму та бажаний час транзакції. Користувачі повинні мати ефір (ETH), необхідний для здійснення транзакції, і повинні сплатити комісію за газ заздалегідь.
Згідно з дописом у Twitter компанії PeckShield, що займається безпекою та аналітикою даних у блокчейні, від 19 жовтня, хакерам вдалося використати лазівку в процесі запланованих транзакцій, яка дозволяє їм отримувати прибуток від плати за газ, що повертається зі скасованих транзакцій.
Простіше кажучи, зловмисники по суті викликали функції скасування своїх контрактів Ethereum Alarm Clock із завищеними комісіями за транзакції. У той час як протокол передбачає відшкодування плати за газ за скасовані транзакції, помилка в смарт-контракті повернула хакерам більшу суму комісії за газ, ніж вони спочатку заплатили, що дозволило їм привласнити різницю.
"Ми підтвердили активний експлойт, який використовує величезну ціну на газ, щоб отримати винагороду за контракт TransactionRequestCore за рахунок початкового власника. Насправді експлойт приносить майнеру 51% прибутку, тому це величезна винагорода MEV-Boost", - написала компанія.
Ми підтвердили активний експлойт, який використовує величезну ціну на газ для відтворення контракту TransactionRequestCore за винагороду за рахунок початкового власника. Насправді експлойт виплачує майнеру 51% прибутку, отже, ця величезна винагорода MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 жовтня 2022 рPeckShield додала, що виявила 24 адреси, які використовували помилку для отримання так званих «винагород».
Безпека Web3...
What's Your Reaction?
