گزارش شده است که یک اشکال در کد قرارداد هوشمند برای سرویس ساعت زنگ دار اتریوم مورد سوء استفاده قرار گرفته است و گفته می شود که تاکنون نزدیک به 260000 دلار از پروتکل حذف شده است.
ساعت زنگ دار اتریوم به کاربران این امکان را می دهد تا با از پیش تعیین آدرس گیرنده، مبلغ ارسالی و زمان مورد نظر تراکنش، تراکنش های آینده را برنامه ریزی کنند. کاربران باید اتر مورد نیاز (ETH) برای تکمیل معامله آماده است و باید هزینه گاز را از قبل پرداخت کند.
بر اساس یک پست توییتر در 19 اکتبر از شرکت امنیتی بلاک چین و تجزیه و تحلیل داده PeckShield، هکرها موفق شدند از یک حفره در فرآیند تراکنش برنامه ریزی شده سوء استفاده کنند که به آنها اجازه می دهد از هزینه های گاز برگشتی از تراکنش های لغو شده سود ببرند.
به زبان ساده، مهاجمان اساساً توابع لغو قراردادهای ساعت زنگ دار اتریوم خود را با کارمزد تراکنش های متورم نامیدند. از آنجایی که پروتکل بازپرداخت هزینه گاز را برای تراکنشهای لغو شده مشخص میکند، یک اشکال در قرارداد هوشمند ارزش بیشتری از هزینههای گاز را نسبت به آنچه در ابتدا پرداخت کردهاند به هکرها بازپرداخت میکند و به آنها اجازه میدهد تفاوت را به جیب بزنند.
ما یک اکسپلویت فعال را تأیید کردهایم که از قیمت هنگفت گاز برای بازی کردن قرارداد TransactionRequestCore برای پاداش به قیمت مالک اصلی استفاده میکند. در واقع، این اکسپلویت 51 درصد از سود را به ماینر می پردازد، از این رو این پاداش عظیم MEV-Boost را دریافت می کند.
ما یک اکسپلویت فعال را تأیید کردهایم که از قیمت هنگفت گاز برای بازی کردن قرارداد TransactionRequestCore برای پاداش به قیمت مالک اصلی استفاده میکند. در واقع، این اکسپلویت 51 درصد سود را به ماینر می پردازد، از این رو این پاداش عظیم MEV-Boost به دست می آید. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 اکتبر 2022
PeckShield در آن زمان اضافه کرد، 24 آدرس را شناسایی کرده بود که از این باگ برای جمع آوری “پاداش” فرضی سوء استفاده می کردند.
شرکت امنیتی Web3 نیز چند ساعت بعد بهروزرسانی ارائه کرد و به تاریخچه تراکنشهای Etherscan اشاره کرد که نشان میداد هکر(ها) تا کنون توانستهاند 204 ETH را به ارزش تقریبی 259800 دلار در زمان نگارش این مقاله بکشند.
این شرکت خاطرنشان کرد: “رویداد حمله جالب، قرارداد TransactionRequestCore چهار ساله است، متعلق به پروژه ساعت زنگ دار اتریوم است، این پروژه هفت ساله است، هکرها در واقع چنین کد قدیمی را برای حمله پیدا کردند.”
2/ تابع لغو کارمزد تراکنش (سود گاز * قیمت بنزین) را که باید با “گاز مصرف شده” بالای 85000 خرج شود را محاسبه کرده و به تماس گیرنده منتقل می کند. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) 19 اکتبر 2022
همانطور که پیش میرود، بهروزرسانیهایی در این زمینه وجود ندارد تا مشخص شود آیا هک ادامه دارد، آیا باگ اصلاح شده است یا اینکه آیا حمله به پایان رسیده است. این یک داستان در حال توسعه است و کوین تلگراف بهروزرسانیهایی را در حین باز شدن ارائه میکند.
علیرغم اینکه ماه اکتبر معمولاً ماه همراه با اقدامات صعودی است، این ماه تاکنون مملو از هک بوده است. بر اساس گزارش Chainalysis از 13 اکتبر، قبلا وجود داشته است 718 میلیون دلار از هک ها به سرقت رفته است در اکتبر، آن را به بزرگترین ماه برای فعالیت هک در سال 2022 تبدیل کرد.
