Ethereum Alarm Clock hizmetinin akıllı sözleşme kodundaki bir hatanın istismar edildiği ve şu ana kadar protokolden yaklaşık 260,000 doların çalındığı bildirildi.
Ethereum Alarm Clock, alıcı adresini, gönderilen miktarı ve istenen işlem zamanını önceden belirleyerek kullanıcıların gelecekteki işlemleri planlamasını sağlar. Kullanıcıların gerekli Ether'e (ETH) işlemi tamamlamak için elinizde ve gaz ücretlerini peşin ödemeniz gerekiyor.
Blockchain güvenlik ve veri analitiği firması PeckShield'ın 19 Ekim tarihli Twitter gönderisine göre bilgisayar korsanları, planlanmış işlem sürecinde iptal edilen işlemlerden iade edilen gas ücretlerinden kar elde etmelerine olanak tanıyan bir boşluktan yararlanmayı başardılar.
Basit bir ifadeyle saldırganlar, Ethereum Alarm Clock sözleşmelerinde şişirilmiş işlem ücretleriyle iptal işlevlerini çağırdı. Protokol, iptal edilen işlemler için gas ücreti iadesi düzenlerken, akıllı sözleşmedeki bir hata, bilgisayar korsanlarına başlangıçta ödediklerinden daha fazla miktarda gas ücreti iade ederek aradaki farkı cebe indirmelerine olanak tanıyor.
“Fiyatları asıl sahibine ait olacak şekilde TransactionRequestCore sözleşmesini ödüllendirmek için büyük gaz fiyatlarından yararlanan aktif bir istismarı doğruladık. Aslında bu istismar kârın %51'ini madenciye ödüyor, dolayısıyla bu devasa MEV-Boost ödülü de buradan geliyor" diye yazdı.
Maliyeti orijinal sahibine ait olacak şekilde TransactionRequestCore sözleşmesini ödül için oynamak için çok yüksek gas fiyatından yararlanan aktif bir istismarı doğruladık. Aslında bu istismar kârın %51'ini madenciye ödüyor, dolayısıyla bu devasa MEV-Boost ödülü de buradan geliyor. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Instagram Profilini Görüntüle 19 Ekim 2022
PeckShield, söz konusu "ödülleri" toplamak için bu açıktan yararlanan 24 adresin tespit edildiğini de sözlerine ekledi.
Web3 güvenlik firması Supremacy Inc de birkaç saat sonra, bilgisayar korsanlarının şu ana kadar yaklaşık 204 dolar değerinde olan 259,800 ETH'yi çalabildiğini gösteren Etherscan işlem geçmişine işaret eden bir güncelleme sağladı.
Firma, "İlginç bir saldırı olayı, TransactionRequestCore sözleşmesi dört yaşında, Ethereum-alarm-saat projesine ait, bu proje yedi yaşında, bilgisayar korsanları saldırmak için o kadar eski bir kod buldu ki" dedi.
2/ İptal fonksiyonu 85000 üzerinden “kullanılan gaz” ile harcanacak İşlem Ücretini (gaz kullanılan *gaz bedeli) hesaplar ve arayan kişiye aktarır. pic.twitter.com/aXyad0oDPv
- Üstünlük A.Ş. (@Supremacy_CA) 19 Ekim 2022
Halihazırda, hack'in devam edip etmediğini, hatanın düzeltilip düzeltilmediğini veya saldırının sonuçlanıp sonuçlanmadığını belirlemek için konuyla ilgili güncelleme eksikliği mevcut. Bu gelişen bir hikaye ve Cointelegraph, ortaya çıktıkça güncellemeler sağlayacak.
Ekim ayı genel olarak yükseliş hareketi ile ilişkilendirilen bir ay olmasına rağmen, bu ay şu ana kadar hack'lerle doluydu. 13 Ekim'deki Chainalation raporuna göre, zaten mevcuttu. Hack'lerden 718 milyon dolar çalındı Ekim ayı, 2022'de bilgisayar korsanlığı faaliyetlerinin en yoğun olduğu ay oldu.
Kaynak: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far