ورد أنه تم استغلال خطأ في رمز العقد الذكي لخدمة Ethereum Alarm Clock ، حيث قيل إنه تم تمرير ما يقرب من 260,000،XNUMX دولار من البروتوكول حتى الآن.
يتيح Ethereum Alarm Clock للمستخدمين جدولة المعاملات المستقبلية عن طريق التحديد المسبق لعنوان المستلم والمبلغ المرسل والوقت المطلوب للمعاملة. يجب أن يكون لدى المستخدمين الأثير المطلوب (ETH) في متناول اليد لإتمام المعاملة وتحتاج إلى دفع رسوم الغاز مقدمًا.
وفقًا لما نشرته على موقع Twitter في 19 أكتوبر من شركة PeckShield للأمان وتحليلات البيانات ، تمكن المتسللون من استغلال ثغرة في عملية المعاملات المجدولة ، والتي تتيح لهم تحقيق ربح من رسوم الغاز المرتجعة من المعاملات الملغاة.
بعبارات بسيطة ، أطلق المهاجمون أساسًا على وظائف الإلغاء في عقود Ethereum Alarm Clock الخاصة بهم برسوم معاملات متضخمة. نظرًا لأن البروتوكول يطرح استرداد رسوم الغاز للصفقات الملغاة ، فقد أدى خطأ في العقد الذكي إلى رد قيمة رسوم الغاز إلى المتسللين أكبر مما دفعوه في البداية ، مما يسمح لهم بتحصيل الفرق.
"لقد أكدنا وجود استغلال نشط يستخدم سعرًا ضخمًا للغاز للتلاعب بعقد TransactionRequestCore مقابل مكافأة على حساب المالك الأصلي. في الواقع ، يدفع الاستغلال 51٪ من الأرباح إلى المُعدِّن ، ومن هنا جاءت مكافأة MEV-Boost الضخمة ".
لقد أكدنا وجود استغلال نشط يستخدم سعر الغاز الضخم للتلاعب بعقد TransactionRequestCore مقابل مكافأة على حساب المالك الأصلي. في الواقع ، يدفع الاستغلال 51٪ من الربح إلى المُعدِّن ، ومن هنا تأتي مكافأة MEV-Boost الضخمة هذه. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (peckshield) 19 أكتوبر 2022
تمت إضافة PeckShield في ذلك الوقت ، فقد رصدت 24 عنوانًا كانت تستغل الخطأ لجمع "المكافآت" المفترضة.
قدمت شركة الأمن Web3 Supremacy Inc أيضًا تحديثًا بعد بضع ساعات ، مشيرة إلى سجل معاملات Etherscan الذي أظهر أن المتسللين كانوا قادرين حتى الآن على انتقاد 204 ETH ، التي تبلغ قيمتها حوالي 259,800 دولار في وقت كتابة هذا التقرير.
وأشارت الشركة إلى أن "حدث هجوم مثير للاهتمام ، عقد TransactionRequestCore عمره أربع سنوات ، وهو ينتمي إلى مشروع ethereum-alarm-clock ، وهذا المشروع عمره سبع سنوات ، وقد وجد المتسللون بالفعل مثل هذا الرمز القديم لمهاجمته".
2 / تحسب وظيفة الإلغاء رسوم المعاملة (gas uesd * gas price) التي سيتم إنفاقها مع "الغاز المستخدم" الذي يزيد عن 85000 وتحويله إلى المتصل. pic.twitter.com/aXyad0oDPv
- شركة Supremacy Inc (Supremacy_CA) 19 أكتوبر 2022
كما هو الحال ، كان هناك نقص في التحديثات حول الموضوع لتحديد ما إذا كان الاختراق مستمرًا ، أو ما إذا كان الخطأ قد تم تصحيحه أو ما إذا كان الهجوم قد انتهى. هذه قصة متطورة وسيقوم كوينتيليغراف بتقديم التحديثات فور ظهورها.
على الرغم من أن شهر أكتوبر كان مرتبطًا بشكل عام بحركة صعودية ، إلا أن هذا الشهر كان حافلاً بالقرصنة حتى الآن. وفقًا لتقرير Chainalysis من 13 أكتوبر ، كان هناك بالفعل 718 مليون دولار مسروقة من الاختراق في أكتوبر ، مما يجعله الشهر الأكبر لنشاط القرصنة في عام 2022.
المصدر: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far