Ethereum-Wecker im Hacktober ins Visier genommen

Der Ethereum-Weckerdienst ist Opfer des neuesten Hacktober-Exploits geworden, der zu Verlusten in Höhe von 260,000 US-Dollar führte. 

PeckShield meldet Weckerangriff

ETH im Wert von rund 260,000 Dollar wurde abgeschöpft, als Hacker einen Fehler im Smart-Contract-Code für den Ethereum-Weckerdienst ausnutzten. Die Nachricht wurde erstmals vom Blockchain-Sicherheits- und Datenanalyseunternehmen PeckShield an die Öffentlichkeit gebracht, das enthüllte, dass es Hackern gelungen war, eine Lücke im Planungscode zu manipulieren, wodurch sie von den zurückgegebenen Gasgebühren bei stornierten Transaktionen profitieren konnten. Derzeit kann das Protokoll zur Planung zukünftiger Transaktionen verwendet werden, indem eine Empfängeradresse, der zu überweisende Geldbetrag und der Zeitpunkt der Transaktion eingegeben werden. Benutzer müssen die erforderliche Menge an Ether vorhalten, um die Gasgebühren für die Transaktion im Voraus zu bezahlen. Bei stornierten Transaktionen werden die abgezogenen Gasgebühren an das ursprüngliche Wallet zurückerstattet.

Exploit-Mechanismus erklärt

Der Exploit-Mechanismus lässt sich so zusammenfassen, dass Angreifer Stornierungsfunktionen für ihre Ethereum-Wecker-Verträge mit überhöhten Transaktionsgebühren aufrufen. Ein Fehler im Smart Contract hat den Tätern einen höheren Wert an Gasgebühren zurückerstattet, als sie ursprünglich bezahlt haben. PeckShield berichtete, dass 51 % dieser aufgeblähten Rückerstattung an Miner ausgezahlt wurden, wodurch ihr Miner Extractable Value (MEV) erhöht wurde. 

Die Firma twitterte, 

„Wir haben einen aktiven Exploit bestätigt, der einen enormen Gaspreis nutzt, um den TransactionRequestCore-Vertrag gegen eine Belohnung auf Kosten des ursprünglichen Eigentümers zu spielen. Tatsächlich zahlt der Exploit 51 % des Gewinns an den Miner, daher diese riesige MEV-Boost-Belohnung.“

Laut einer anderen Sicherheitsfirma, Supremacy Inc., hat der Exploit zu einem Verlust von rund 204 ETH geführt. 

Hacktober geht weiter

2022 hat bereits eine Rekordzahl von DeFi-Hacks gesehen. Der Wecker-Angriff ist der jüngste in einer langen Reihe von Protokoll-Hacks, die Fehler in intelligenten Vertragscodes ausgenutzt haben, insbesondere im Monat Oktober, der auch als Hacktober bezeichnet wird. Zuletzt, Moola-Markt wurde für 9 Millionen Dollar gehackt, indem der Preis des nativen MOO-Tokens des Leihprotokolls manipuliert wurde, indem der Token im Wert von 45,000 Dollar gekauft und als Sicherheit hinterlegt wurde, um CELO-Token zu leihen. Zum Glück hat der Hacker den größten Teil des Geldes zurückerstattet, während er 500,000 Dollar als Bug-Bounty einbehalten hat. Andere Protokolle, die diesen Oktober ausgenutzt wurden, umfassen das BitKeep-Wallet und DeFi-Protokoll sovryn, die beide jeweils rund eine Million Dollar verloren. Am bemerkenswertesten ist jedoch die Mango-Märkte hack, was dazu führte, dass in der zweiten Hacktober-Woche Gelder im Wert von 117 US-Dollar von der Kreditplattform abgezweigt wurden. 

Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.