Peckshield: Смарт-контракт Ethereum Alarm Clock атакован хакерами

Эксплойт с будильником Ethereum Alarm Clock позволил хакерам украсть эфир на сумму около $260 000.

Будильник Эфириума позволяет пользователям сети заранее планировать будущие транзакции, определяя адрес получателя, сумму и желаемое время транзакции. Также пользователи должны заранее оплатить сборы за газ.

Согласно сообщению компании PeckShield, занимающейся безопасностью и анализом данных, хакерам удалось использовать лазейку в запланированном процессе транзакций, что позволило получать прибыль от возвращенных сборов за газ при отмене транзакций.

We’ve confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp

— PeckShield Inc. (@peckshield) October 19, 2022

В рамках эксплойта злоумышленник сначала вызывал функцию cancel() в контракте Ethereum Alarm Clock с аномально высокой комиссией за транзакцию. Эксплойт происходил на следующем этапе, когда сумма возмещения комиссии за транзакцию рассчитывалась слишком высоко, и выплачивалась более высокая сумма.

По данным обозревателя Etherscan, мониторинг истории транзакций показал, что хакеры смогли украсть 204 ETH в качестве возврата платы за газ на сумму примерно $260 000.

Ранее один из ведущих разработчиков решения Arbitrum Ли Боусфилд (Lee Bousfield) сообщил в Твиттере об уязвимости межсетевого моста BitBTC, который используется для перемещения активов между Optimism и BitAnt. По его словам, уязвимость позволяет выпустить в смарт-контракте BitBTC фейковые токены, а затем обменять их на реальные.

Источник