Secondo quanto riferito, sarebbe stato sfruttato un bug nel codice dello smart contract di Ethereum Alarm Clock, con quasi 260.000$ sottratti al protocollo finora.
L'Ethereum Alarm Clock consente agli utenti di programmare transazioni future predeterminando l'indirizzo del destinatario, l'importo inviato e l'ora della transazione desiderata. Gli utenti devono avere a disposizione gli Ether (ETH) necessari per completare la transazione e devono pagare in anticipo il gas.
Secondo un post Twitter del 19 ottobre condiviso da PeckShield, società di sicurezza blockchain e analisi dei dati, gli hacker sarebbero riusciti a sfruttare una falla nel processo di transazione programmata, consentendo loro di trarre profitto dalle gas fee restituite dalle transazioni annullate.
In parole povere, gli aggressori hanno essenzialmente sfruttato le funzioni di annullamento dei contratti con commissioni di transazione gonfiate. Poiché il protocollo prevede il rimborso delle gas fee per le transazioni annullate, un bug nello smart contract ha rimborsato agli hacker un valore delle fee superiore a quello pagato inizialmente, consentendo loro di intascare la differenza.
Abbiamo confermato un exploit attivo che sfrutta l'enorme prezzo del gas per sfruttare il contratto TransactionRequestCore per ottenere una ricompensa a spese del proprietario originale. In realtà, l'exploit paga il 51% del profitto al miner, da cui l'enorme ricompensa MEV-Boost.
We've confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) October 19, 2022
PeckShield ha aggiunto di aver individuato 24 indirizzi che hanno sfruttato il bug per ottenere le presunte "ricompense".
Anche la società di sicurezza Web3 Supremacy Inc ha fornito un aggiornamento poche ore dopo, indicando la cronologia delle transazioni di Etherscan: al momento della stesura, gli hacker sono finora riusciti a sottrarre 204 ETH, per un valore approssimativo di 259.800$.
"Interessante attacco, il contratto TransactionRequestCore ha quattro anni, appartiene al progetto ethereum-alarm-clock, questo progetto ha sette anni, gli hacker hanno effettivamente trovato un codice così vecchio da attaccare", riporta la società.
2/ La funzione di annullamento calcola la Transaction Fee (gas consumato * prezzo del gas) da spendere con il "gas consumato" e la trasferisce al caller.
2/ The cancel function calculates the Transaction Fee (gas uesd * gas price) to be spent with the "gas used" over 85000 and transfers it to the caller. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) October 19, 2022
Allo stato attuale, non sono disponibili aggiornamenti utili per determinare se l'hack è in corso o se il bug è stato risolto. Cointelegraph fornirà ulteriori dettagli in seguito.
Nonostante ottobre sia generalmente un mese associato a movimenti rialzisti, questo mese è stato teatro di diversi hack. Secondo un rapporto di Chainalysis del 13 ottobre, ad ottobre sono stati rubati 718 milioni di dollari, il che lo rende il mese più importante per le attività di hacking nel 2022.