לפי הדיווחים נוצל באג בקוד החוזה החכם עבור שירות השעון המעורר Ethereum, כאשר עד כה נמחקו כמעט 260,000 דולר מהפרוטוקול.
שעון המעורר של Ethereum מאפשר למשתמשים לתזמן עסקאות עתידיות על ידי קביעה מראש של כתובת המקלט, הסכום שנשלח וזמן העסקה הרצוי. למשתמשים יש את האתר הנדרש (ETH) בהישג יד להשלמת העסקה וצריך לשלם את דמי הדלק מראש.
לפי פוסט בטוויטר ב-19 באוקטובר מחברת האבטחה והנתונים של בלוקצ'יין PeckShield, האקרים הצליחו לנצל פרצה בתהליך העסקה המתוכנן, שמאפשרת להם להרוויח על עמלות גז שהוחזרו מעסקאות שבוטלו.
במילים פשוטות, התוקפים בעצם קראו לפונקציות ביטול בחוזי Ethereum Alarm Clock שלהם עם עמלות עסקה מנופחות. כשהפרוטוקול מחלק החזר עמלת גז עבור עסקאות שבוטלו, באג בחוזה החכם החזיר להאקרים ערך גבוה יותר של עמלות גז ממה ששילמו בתחילה, מה שמאפשר להם לשלשל את ההפרש לכיסם.
"אישרנו ניצול פעיל שעושה שימוש במחיר גז עצום כדי לשחק את חוזה TransactionRequestCore לתגמול על עלות הבעלים המקורי. למעשה, הניצול משלם 51% מהרווח לכורה, ומכאן תגמול MEV-Boost העצום הזה", כתבה החברה.
אישרנו ניצול פעיל שעושה שימוש במחיר גז עצום כדי לשחק בחוזה TransactionRequestCore לתגמול במחיר של הבעלים המקורי. למעשה, הניצול משלם את 51% מהרווח לכורה, ומכאן תגמול MEV-Boost העצום הזה. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) אוקטובר 19, 2022
PeckShield הוסיפה בזמנו, היא זיהתה 24 כתובות שניצלו את הבאג כדי לאסוף את ה"פרסים" כביכול.
חברת האבטחה Web3 Supremacy Inc סיפקה גם היא עדכון כמה שעות לאחר מכן, והצביעה על היסטוריית העסקאות של Etherscan שהראתה שההאקרים הצליחו עד כה להחליק 204 ETH, בשווי של כ-259,800 דולר בזמן כתיבת שורות אלה.
"אירוע תקיפה מעניין, חוזה TransactionRequestCore הוא בן ארבע שנים, הוא שייך לפרויקט ethereum-שעון מעורר, הפרויקט הזה בן שבע שנים, האקרים למעשה מצאו קוד ישן כל כך לתקוף", ציינה החברה.
2/ פונקציית הביטול מחשבת את עמלת העסקה (שימוש בגז * מחיר גז) שיש להוציא עם "הגז בשימוש" מעל 85000 ומעבירה אותו למתקשר. pic.twitter.com/aXyad0oDPv
- Supremacy Inc. (@Supremacy_CA) אוקטובר 19, 2022
כפי שזה נראה, היו חוסר עדכונים בנושא כדי לקבוע אם הפריצה נמשכת, אם הבאג תוקן או אם ההתקפה הסתיימה. זהו סיפור מתפתח ו-Cointelegraph יספק עדכונים עם התפתחותו.
למרות שאוקטובר הוא בדרך כלל חודש הקשור לפעולה שורית, החודש הזה עד כה היה גדוש בפריצות. לפי דו"ח Chainalysis מה-13 באוקטובר, כבר היה 718 מיליון דולר נגנבו מפריצות באוקטובר, מה שהופך אותו לחודש הגדול ביותר לפעילות פריצה בשנת 2022.
מקור: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far