Ξυπνητήρι Ethereum Στοχευμένο στο Hacktober

Η υπηρεσία Ξυπνητήρι Ethereum έπεσε θύμα της τελευταίας εκμετάλλευσης του Hacktober με απώλειες ύψους 260,000 $. 

Το PeckShield αναφέρει επίθεση με ξυπνητήρι

ETH αξίας περίπου 260,000 δολαρίων εξαφανίστηκε όταν χάκερ εκμεταλλεύτηκαν ένα σφάλμα στον κώδικα έξυπνης σύμβασης για την υπηρεσία Ξυπνητήρι Ethereum. Η είδηση ​​παρουσιάστηκε για πρώτη φορά στο κοινό από την εταιρεία ασφάλειας blockchain και ανάλυσης δεδομένων PeckShield, η οποία αποκάλυψε ότι οι χάκερ κατάφεραν να χειραγωγήσουν ένα κενό στον κώδικα προγραμματισμού, επιτρέποντάς τους να επωφεληθούν από τα επιστρεφόμενα τέλη αερίου σε ακυρωμένες συναλλαγές. Επί του παρόντος, το πρωτόκολλο μπορεί να χρησιμοποιηθεί για τον προγραμματισμό μελλοντικών συναλλαγών εισάγοντας μια διεύθυνση παραλήπτη, το ποσό των χρημάτων που θα μεταφερθούν και την ώρα της συναλλαγής. Οι χρήστες πρέπει να διατηρήσουν την απαραίτητη ποσότητα αιθέρα για να πληρώσουν προκαταβολικά τέλη αερίου για τη συναλλαγή. Σε περίπτωση ακυρωμένων συναλλαγών, τα αφαιρεθέντα τέλη αερίου επιστρέφονται στο αρχικό πορτοφόλι.

Επεξήγηση του μηχανισμού εκμετάλλευσης

Ο μηχανισμός εκμετάλλευσης μπορεί να συνοψιστεί ως εισβολείς που καλούν λειτουργίες ακύρωσης στο Ξυπνητήρι Ethereum τους συμβόλαια με διογκωμένες χρεώσεις συναλλαγών. Ένα σφάλμα στο έξυπνο συμβόλαιο ήταν η επιστροφή χρημάτων στους δράστες υψηλότερης αξίας τελών αερίου από ό,τι αρχικά πλήρωσαν. Η PeckShield ανέφερε ότι το 51% αυτής της διογκωμένης επιστροφής χρημάτων καταβλήθηκε στους ανθρακωρύχους, αυξάνοντας έτσι την εξαγώγιμη αξία εξόρυξης (MEV). 

Η εταιρεία έγραψε στο Twitter, 

«Επιβεβαιώσαμε ένα ενεργό exploit που χρησιμοποιεί τεράστια τιμή φυσικού αερίου για να παίξει το συμβόλαιο TransactionRequestCore για ανταμοιβή με κόστος του αρχικού ιδιοκτήτη. Στην πραγματικότητα, το exploit πληρώνει το 51% του κέρδους στον εξορύκτη, εξ ου και αυτή η τεράστια ανταμοιβή MEV-Boost».

Σύμφωνα με μια άλλη εταιρεία ασφαλείας, την Supremacy Inc., η εκμετάλλευση είχε ως αποτέλεσμα την απώλεια περίπου 204 ETH. 

Το Hacktober συνεχίζεται

Το 2022 έχει ήδη δει έναν αριθμό ρεκόρ εισβολών DeFi. Η επίθεση Alarm Clock είναι η πιο πρόσφατη σε μια μακρά σειρά από hacks πρωτοκόλλου που έχουν εκμεταλλευτεί σφάλματα σε κώδικες έξυπνων συμβολαίων, ειδικά τον μήνα Οκτώβριο, ο οποίος ονομάζεται επίσης Hacktober. Πιο πρόσφατα, Αγορά Moola παραβιάστηκε για 9 εκατομμύρια δολάρια με χειραγώγηση της τιμής του εγγενούς διακριτικού MOO του πρωτοκόλλου δανεισμού αγοράζοντας το διακριτικό αξίας 45,000 δολαρίων και καταθέτοντάς το ως εγγύηση για να δανειστούν μάρκες CELO. Ευτυχώς, ο χάκερ επέστρεψε τα περισσότερα από τα κεφάλαια ενώ διατήρησε 500,000 $ ως bounty bug. Άλλα πρωτόκολλα που αξιοποιήθηκαν αυτόν τον Οκτώβριο περιλαμβάνουν το Πορτοφόλι BitKeep και το πρωτόκολλο DeFi Σοβρίν, που και οι δύο έχασαν περίπου ένα εκατομμύριο δολάρια το καθένα. Ωστόσο, το πιο αξιοσημείωτο είναι το Αγορές Μάνγκο hack, το οποίο είχε ως αποτέλεσμα να αφαιρεθούν κεφάλαια αξίας 117 $ από την πλατφόρμα δανεισμού τη δεύτερη εβδομάδα του Hacktober. 

Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.