Через експлойт в Ethereum Alarm Clock хакери вкрали близько $260 тисяч у вигляді комісій за газ
- Експлойтери знайшли лазівку в сервісі Ethereum Alarm Clock
- Вони масово скасовують відкладені транзакції із завищеною платою за газ
- Різницю злочинці привласнюють як винагороду
- Таким чином хакери вже викрали 204 ETH
Учора, 19 жовтня, команда PeckShield заявила, що виявила вразливість у смарт-контракті TransactionRequestCore служби Ethereum Alarm Clock. Вона дає змогу істотно підвищити комісію за газ під час повернення скасованих транзакцій. Таким чином хакери вже викрали близько $260 тисяч.
Що таке Ethereum Alarm Clock?
Цей сервіс дає змогу запланувати майбутні транзакції. Користувач може заздалегідь задати адресу одержувача, суму і час угоди. На балансі має бути достатньо ETH для проведення транзакції.
Уразливість у смарт-контракті TransactionRequestCore
За даними PeckShield хакери знайшли лазівку в цьому механізмі. Вони заздалегідь планують транзакції, підвищуючи плату за газ під час їх повернення. Оскільки сервіс власним коштом погашає комісію, на гаманець відправника приходить більше ETH, ніж було відправлено.
У своїй публікації експерти PeckShield вказали, що зафіксували 24 адреси, які скористалися експлойтом. Через кілька годин інформацію агентства підтвердив відділ безпеки Web3 Supremacy Inc.
За статистикою Etherscan, хакери вже викрали таким чином 204 ETH. Це трохи більше ніж $259 тисяч. Примітно, що зазначеному смарт-контракту чотири роки, безпосередньо сервісу — сім. При цьому експлойт було виявлено тільки зараз.
Ми розписували схожий випадок у цьому матеріалі. Зазначимо, що біржа FTX втратила понад $100 тисяч через помилку в механізмі мінта токена XEN.
Буде цікаво
