Khai thác Đồng hồ báo thức Ethereum dẫn đến 260 nghìn đô la phí gas bị đánh cắp cho đến nay

Công ty bảo mật Web3 Supremacy đã nêu bật lịch sử giao dịch Etherscan cho thấy (các) hacker đã có thể quét 204 ETH phí gas cho đến nay, trị giá khoảng 259.800 đô la.

Một lỗi trong mã hợp đồng thông minh cho dịch vụ Đồng hồ báo thức Ethereum đã được báo cáo khai thác, với gần 260.000 đô la được cho là đã được quét khỏi giao thức cho đến nay.

Đồng hồ báo thức Ethereum cho phép người dùng lên lịch giao dịch trong tương lai bằng cách xác định trước địa chỉ người nhận, số tiền đã gửi và thời gian giao dịch mong muốn. Người dùng phải có Ether (ETH) cần thiết để hoàn tất giao dịch và cần trả trước phí gas.

Theo một bài đăng trên Twitter ngày 19 tháng 10 từ công ty phân tích dữ liệu và bảo mật blockchain PeckShield, các tin tặc đã khai thác lỗ hổng trong quy trình giao dịch theo lịch trình, cho phép họ kiếm lợi nhuận từ phí gas trả lại từ các giao dịch bị hủy.

Nói một cách dễ hiểu, những kẻ tấn công về cơ bản gọi là hủy các chức năng trên hợp đồng Đồng hồ báo thức Ethereum của họ với phí giao dịch tăng cao. Khi giao thức đưa ra khoản hoàn trả phí gas cho các giao dịch bị hủy, một lỗi trong hợp đồng thông minh đã hoàn trả cho tin tặc một khoản phí gas lớn hơn giá trị mà họ đã trả ban đầu, cho phép họ bỏ túi khoản chênh lệch.

Chúng tôi đã xác nhận một hoạt động khai thác đang sử dụng giá xăng khổng lồ để chơi hợp đồng TransactionRequestCore để lấy phần thưởng theo chi phí của chủ sở hữu ban đầu. Trên thực tế, việc khai thác trả 51% lợi nhuận cho máy khai thác, do đó, phần thưởng tăng giá MEV khổng lồ này, công ty viết.

We've confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp

— PeckShield Inc. (@peckshield) October 19, 2022

PeckShield cho biết thêm vào thời điểm đó, họ đã phát hiện ra 24 địa chỉ đang khai thác lỗi để thu thập phần thưởng giả định.

Công ty bảo mật Web3 Supremacy Inc cũng cung cấp bản cập nhật vài giờ sau đó, chỉ vào lịch sử giao dịch Etherscan cho thấy (các) hacker cho đến nay đã có thể quét 204 ETH, trị giá khoảng 259.800 đô la vào thời điểm viết bài.

Sự kiện tấn công thú vị, hợp đồng TransactionRequestCore đã có 4 năm tuổi, nó thuộc về dự án đồng hồ báo thức ethereum mua có thời hạn, dự án này đã có 7 năm tuổi, tin tặc thực sự đã tìm thấy mã cũ như vậy để tấn công, công ty lưu ý.

2/ The cancel function calculates the Transaction Fee (gas uesd * gas price) to be spent with the "gas used" over 85000 and transfers it to the caller. pic.twitter.com/aXyad0oDPv

— Supremacy Inc. (@Supremacy_CA) October 19, 2022

Hiện tại, vẫn chưa có thông tin cập nhật về chủ đề này để xác định xem liệu vụ hack có đang diễn ra hay không, lỗi đã được vá chưa, hoặc liệu cuộc tấn công đã kết thúc hay chưa. Đây là một câu chuyện đang phát triển và Cointelegraph sẽ cung cấp các bản cập nhật khi nó mở ra.

bất chấp việc định giá chung của tháng 10 là một tháng liên quan đến hành động tăng giá, nhưng tháng này cho đến nay vẫn đầy rẫy các vụ hack. Theo một báo cáo của Chainalysis từ ngày 13 tháng 10, đã có 718 triệu đô la bị đánh cắp từ các vụ hack vào tháng 10, đây là tháng có hoạt động hack lớn nhất trong năm 2022.

Theo CoinTelegraph