Ethereum Alarm Clock hizmeti için akıllı sözleşme kodundaki bir hatadan yararlanıldığı ve şimdiye kadar protokolden yaklaşık 260.000 doların çalındığı bildirildi.
Ethereum Alarm Clock, kullanıcıların alıcı adresini, gönderilen miktarı ve istenen işlem zamanını önceden belirleyerek gelecekteki işlemleri planlamasını sağlar. Kullanıcılar, işlemi tamamlamak için gerekli Ether’e (ETH) sahip olmalı ve gaz ücretlerini önceden ödemelidir.
Blockchain güvenlik ve veri analitiği şirketi PeckShield’in 19 Ekim tarihli Twitter gönderisine göre, bilgisayar korsanları, planlanmış işlem sürecinde, iptal edilen işlemlerden iade edilen gaz ücretlerinden kar elde etmelerini sağlayan bir boşluktan yararlanmayı başardı.
Basit bir ifadeyle, saldırganlar esasen Ethereum Alarm Clock sözleşmelerinde şişirilmiş işlem ücretleriyle iptal işlevlerini çağırdılar. Protokol, iptal edilen işlemler için bir gaz ücreti iadesi düzenlerken, akıllı sözleşmedeki bir hata, bilgisayar korsanlarına başlangıçta ödediklerinden daha büyük bir gaz ücretini iade ederek, aradaki farkı cebe indirmelerine izin veriyor.
“Ödül için ilk sahibinin pahasına TransactionRequestCore sözleşmesini oynamak için devasa gaz fiyatı kullanan aktif bir istismarı onayladık. Aslında, istismar madenciye kârın %51’ini ödüyor, dolayısıyla bu devasa MEV-Boost ödülü” diye yazdı firma.
İlk sahibi pahasına ödül için TransactionRequestCore sözleşmesini oynamak için devasa gaz fiyatı kullanan aktif bir istismarı onayladık. Aslında, istismar madenciye karın %51’ini öder, dolayısıyla bu büyük MEV-Boost ödülü. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 Ekim 2022
PeckShield, sözde “ödülleri” toplamak için hatayı kullanan 24 adres tespit etti.
Web3 güvenlik şirketi Supremacy Inc de birkaç saat sonra bir güncelleme yaptı ve Etherscan işlem geçmişine işaret ederek hacker(lar)ın şu ana kadar 204 ETH’yi (bu yazının yazıldığı sırada yaklaşık 259.800 $ değerinde) kaydırabildiğini gösterdi.
Firma, “İlginç saldırı olayı, TransactionRequestCore sözleşmesi dört yaşında, ethereum-alarm-clock projesine ait, bu proje yedi yaşında, bilgisayar korsanları aslında saldırmak için böyle eski bir kod buldu” dedi.
2/ İptal fonksiyonu 85000 üzerinden “kullanılan gaz” ile harcanacak İşlem Ücretini (gaz uesd * gaz fiyatı) hesaplar ve arayan kişiye aktarır. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) 19 Ekim 2022
Halihazırda, saldırının devam edip etmediğini, hatanın düzeltilip düzeltilmediğini veya saldırının sonuçlanıp sonuçlanmadığını belirlemek için konuyla ilgili güncelleme eksikliği oldu. Bu gelişmekte olan bir hikaye ve Cointelegraph ortaya çıktıkça güncellemeler sağlayacaktır.
Ekim ayı genellikle yükseliş hareketiyle ilişkilendirilen bir ay olmasına rağmen, bu ay şimdiye kadar hack’lerle dolu. 13 Ekim tarihli Chainalysis raporuna göre, Ekim ayında bilgisayar korsanlarından zaten 718 milyon dolar çalınmıştı ve bu, 2022’deki bilgisayar korsanlığı faaliyeti için en büyük ay oldu.
