Հաղորդվում է, որ շահագործվել է Ethereum Զարթուցիչ ծառայության խելացի պայմանագրային կոդի վրիպակը, որի համաձայն մինչ այժմ արձանագրությունից հանվել է մոտ 260,000 դոլար:
Ethereum Զարթուցիչը հնարավորություն է տալիս օգտվողներին պլանավորել ապագա գործարքները՝ նախապես որոշելով ստացողի հասցեն, ուղարկված գումարը և գործարքի ցանկալի ժամանակը: Օգտագործողները պետք է ունենան անհրաժեշտ Եթեր (ETH) ձեռքի տակ է գործարքն ավարտելու համար և պետք է նախապես վճարեք գազի վճարները:
Համաձայն PeckShield-ի բլոկչեյնի անվտանգության և տվյալների վերլուծական ընկերության հոկտեմբերի 19-ի Twitter-ի գրառման՝ հաքերներին հաջողվել է օգտագործել պլանավորված գործարքների գործընթացի բացը, որը թույլ է տալիս նրանց շահույթ ստանալ չեղյալ գործարքներից վերադարձված գազի վճարներից:
Պարզ բառերով ասած, հարձակվողները, ըստ էության, անվանել են չեղյալ գործառույթներ իրենց Ethereum Զարթուցիչի պայմանագրերում՝ ուռճացված գործարքների վճարներով: Քանի որ արձանագրությունը նախատեսում է չեղյալ գործարքների համար գազի վճարի վերադարձը, խելացի պայմանագրի սխալը հաքերներին վերադարձնում է գազի վճարների ավելի մեծ արժեք, քան նրանք ի սկզբանե վճարել են՝ թույլ տալով նրանց գրպանել տարբերությունը:
«Մենք հաստատել ենք ակտիվ շահագործում, որն օգտագործում է գազի հսկայական գինը՝ սկզբնական սեփականատիրոջ գնով «TransactionRequestCore» պայմանագիրը խաղարկելու համար: Իրականում, շահույթը վճարում է հանքարդյունաբերողին շահույթի 51%-ը, հետևաբար այս հսկայական MEV-Boost պարգևը»,- գրել է ընկերությունը:
Մենք հաստատել ենք ակտիվ շահագործում, որն օգտագործում է գազի հսկայական գինը՝ սկզբնական սեփականատիրոջ գնով վարձատրության համար խաղալու համար TransactionRequestCore պայմանագիրը: Իրականում, շահագործումը վճարում է շահույթի 51%-ը հանքագործին, հետևաբար այս հսկայական MEV-Boost պարգևը: https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Հոկտեմբեր 19, 2022
PeckShield-ը ավելացրեց, որ այն ժամանակ նկատել է 24 հասցե, որոնք օգտագործում էին սխալը ենթադրյալ «պարգևատրումները» հավաքելու համար:
Web3 անվտանգության Supremacy Inc ընկերությունը նաև թարմացում է տրամադրել մի քանի ժամ անց՝ մատնանշելով Etherscan գործարքների պատմությունը, որը ցույց է տվել, որ հաքեր(ներ)ը մինչ այժմ կարողացել են սահեցնել 204 ETH, որը գրելու պահին արժեր մոտավորապես $259,800:
«Հետաքրքիր հարձակման իրադարձություն, TransactionRequestCore պայմանագիրը չորս տարվա վաղեմություն ունի, այն պատկանում է ethereum- Alarm-clock նախագծին, այս նախագիծը յոթ տարեկան է, հաքերներն իրականում գտել են հարձակման համար այնպիսի հին ծածկագիր»,- նշել է ընկերությունը։
2/ Չեղյալ գործառույթը հաշվարկում է 85000-ից ավելի «օգտագործված գազի» հետ ծախսվելիք Գործարքի վճարը (գազ uesd * գազի գին) և փոխանցում զանգահարողին: pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) Հոկտեմբեր 19, 2022
Ինչպես կա, թեմայի վերաբերյալ թարմացումների պակաս է եղել՝ պարզելու համար, թե արդյոք հաքերային հարձակումը շարունակվում է, արդյոք սխալը կարկատվել է, թե հարձակումն ավարտվել է: Սա զարգացող պատմություն է, և Cointelegraph-ը կտրամադրի թարմացումներ, երբ այն ծավալվի:
Չնայած հոկտեմբեր ամիսը, ընդհանուր առմամբ, մի ամիս է, որը կապված է աճող գործողությունների հետ, այս ամիսը մինչ այժմ լի էր հաքերներով: Ըստ Chainalysis-ի հոկտեմբերի 13-ի զեկույցի, արդեն եղել է Հաքերներից գողացել են 718 միլիոն դոլար հոկտեմբերին՝ դարձնելով այն հաքերային գործունեության ամենամեծ ամիսը 2022 թվականին։
Աղբյուր՝ https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far