Pepijat dalam kod kontrak pintar untuk perkhidmatan Jam Penggera Ethereum dilaporkan telah dieksploitasi, dengan hampir $260,000 dikatakan telah disapu daripada protokol setakat ini.
Jam Penggera Ethereum membolehkan pengguna menjadualkan urus niaga masa hadapan dengan pra-menentukan alamat penerima, jumlah yang dihantar dan masa transaksi yang dikehendaki. Pengguna mesti mempunyai Eter yang diperlukan (ETH) di tangan untuk menyelesaikan transaksi dan perlu membayar yuran gas terlebih dahulu.
Menurut catatan Twitter pada 19 Oktober daripada firma keselamatan dan analisis data blockchain PeckShield, penggodam berjaya mengeksploitasi kelemahan dalam proses transaksi yang dijadualkan, yang membolehkan mereka membuat keuntungan atas bayaran gas yang dikembalikan daripada transaksi yang dibatalkan.
Secara ringkasnya, penyerang pada dasarnya memanggil fungsi batal pada kontrak Jam Penggera Ethereum mereka dengan bayaran transaksi yang melambung. Memandangkan protokol mengeluarkan bayaran balik yuran gas untuk urus niaga yang dibatalkan, pepijat dalam kontrak pintar telah membayar balik penggodam nilai yuran gas yang lebih besar daripada yang mereka bayar pada mulanya, membolehkan mereka memungut perbezaan itu.
“Kami telah mengesahkan eksploitasi aktif yang menggunakan harga gas yang besar untuk mempermainkan kontrak TransactionRequestCore untuk ganjaran pada kos pemilik asal. Malah, eksploitasi itu membayar 51% daripada keuntungan kepada pelombong, oleh itu ganjaran MEV-Boost yang besar ini,” tulis firma itu.
Kami telah mengesahkan eksploitasi aktif yang menggunakan harga gas yang besar untuk mempermainkan kontrak TransactionRequestCore untuk ganjaran pada kos pemilik asal. Malah, eksploitasi membayar 51% daripada keuntungan kepada pelombong, oleh itu ganjaran MEV-Boost yang besar ini. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktober 19, 2022
PeckShield menambah pada masa itu, ia telah melihat 24 alamat yang telah mengeksploitasi pepijat untuk mengumpul "ganjaran" yang sepatutnya.
Firma keselamatan Web3 Supremacy Inc juga menyediakan kemas kini beberapa jam kemudian, menunjuk kepada sejarah transaksi Etherscan yang menunjukkan penggodam setakat ini mampu meleret 204 ETH, bernilai kira-kira $259,800 pada masa penulisan.
"Acara serangan yang menarik, kontrak TransactionRequestCore berusia empat tahun, ia milik projek jam penggera ethereum, projek ini berusia tujuh tahun, penggodam sebenarnya menemui kod lama untuk menyerang," kata firma itu.
2/ Fungsi batal mengira Yuran Transaksi (harga gas uesd * gas) yang akan dibelanjakan dengan "gas yang digunakan" melebihi 85000 dan memindahkannya kepada pemanggil. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Oktober 19, 2022
Seperti sedia ada, terdapat kekurangan kemas kini mengenai topik untuk menentukan sama ada penggodaman sedang berjalan, jika pepijat telah ditambal atau jika serangan telah berakhir. Ini adalah cerita yang sedang berkembang dan Cointelegraph akan memberikan kemas kini semasa ia berlaku.
Walaupun Oktober secara amnya adalah bulan yang dikaitkan dengan tindakan kenaikan harga, bulan ini setakat ini dipenuhi dengan penggodaman. Menurut laporan Chainalysis dari 13 Oktober, sudah ada $718 juta dicuri daripada penggodaman pada bulan Oktober, menjadikannya bulan terbesar untuk aktiviti penggodaman pada tahun 2022.
Sumber: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far