Berichten zufolge wurde ein Fehler im Smart-Contract-Code für den Ethereum-Weckerdienst ausgenutzt, wobei bisher fast 260,000 US-Dollar aus dem Protokoll geklaut worden sein sollen.
Der Ethereum-Wecker ermöglicht es Benutzern, zukünftige Transaktionen zu planen, indem sie die Empfängeradresse, den gesendeten Betrag und die gewünschte Transaktionszeit im Voraus festlegen. Benutzer müssen über die erforderlichen Ether (ETH) zur Verfügung, um die Transaktion abzuschließen und die Gasgebühren im Voraus zu zahlen.
Laut einem Twitter-Beitrag des Blockchain-Sicherheits- und Datenanalyseunternehmens PeckShield vom 19. Oktober gelang es Hackern, eine Lücke im geplanten Transaktionsprozess auszunutzen, die es ihnen ermöglicht, mit den zurückgegebenen Gasgebühren aus stornierten Transaktionen einen Gewinn zu erzielen.
Einfach ausgedrückt, die Angreifer nannten im Wesentlichen Stornierungsfunktionen für ihre Ethereum-Weckerverträge mit überhöhten Transaktionsgebühren. Während das Protokoll eine Gasgebührenrückerstattung für stornierte Transaktionen austeilt, hat ein Fehler im Smart Contract den Hackern einen höheren Wert an Gasgebühren erstattet, als sie ursprünglich bezahlt hatten, sodass sie die Differenz einstecken konnten.
„Wir haben einen aktiven Exploit bestätigt, der einen enormen Gaspreis nutzt, um den TransactionRequestCore-Vertrag auf Kosten des ursprünglichen Eigentümers gegen eine Belohnung zu spielen. Tatsächlich zahlt der Exploit 51 % des Gewinns an den Miner, daher diese riesige MEV-Boost-Belohnung“, schrieb die Firma.
Wir haben einen aktiven Exploit bestätigt, der einen enormen Gaspreis nutzt, um den TransactionRequestCore-Vertrag gegen eine Belohnung auf Kosten des ursprünglichen Eigentümers zu spielen. Tatsächlich zahlt der Exploit 51 % des Gewinns an den Miner, daher diese riesige MEV-Boost-Belohnung. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) 19. Oktober 2022
PeckShield fügte damals hinzu, es habe 24 Adressen entdeckt, die den Fehler ausgenutzt hätten, um die angeblichen „Belohnungen“ zu sammeln.
Die Web3-Sicherheitsfirma Supremacy Inc lieferte einige Stunden später auch ein Update und wies auf den Etherscan-Transaktionsverlauf hin, der zeigte, dass die Hacker bisher in der Lage waren, 204 ETH zu klauen, die zum Zeitpunkt des Schreibens etwa 259,800 US-Dollar wert waren.
„Interessantes Angriffsereignis, TransactionRequestCore-Vertrag ist vier Jahre alt, er gehört zum Ethereum-Alarm-Clock-Projekt, dieses Projekt ist sieben Jahre alt, Hacker haben tatsächlich so alten Code zum Angriff gefunden“, bemerkte die Firma.
2/ Die Abbruchfunktion berechnet die Transaktionsgebühr (Gasverbrauch * Gaspreis), die mit dem „verbrauchten Gas“ über 85000 ausgegeben werden soll, und überweist sie an den Anrufer. pic.twitter.com/aXyad0oDPv
– Vorherrschaft Inc. (@Supremacy_CA) 19. Oktober 2022
Derzeit fehlt es an Updates zu diesem Thema, um festzustellen, ob der Hack noch andauert, ob der Fehler behoben wurde oder ob der Angriff abgeschlossen ist. Dies ist eine sich entwickelnde Geschichte und Cointelegraph wird Updates bereitstellen, während sie sich entfaltet.
Obwohl der Oktober im Allgemeinen ein Monat ist, der mit Aufwärtsbewegungen in Verbindung gebracht wird, war dieser Monat bisher voller Hacks. Laut einem Chainalysis-Bericht vom 13. Oktober gab es dies bereits 718 Millionen Dollar durch Hacks gestohlen im Oktober, was ihn zum größten Monat für Hacking-Aktivitäten im Jahr 2022 macht.
Quelle: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far