การใช้ประโยชน์จาก Ethereum Alarm Clock ในการขโมย 260,000 ดอลลาร์ออกจาก “โปรโตคอล”

มีรายงานว่าบั๊กในโค้ด smart contract สำหรับบริการ Ethereum Alarm Clock ถูกนำไปใช้ประโยชน์ โดยเกือบ 260,000 ดอลลาร์ถูกขโมยออกจากโปรโตคอลไปแล้ว

Ethereum Alarm Clock ช่วยให้ผู้ใช้สามารถกำหนดเวลาการทำธุรกรรมในอนาคตโดยการกำหนดที่อยู่ผู้รับล่วงหน้า จำนวนที่ส่ง และเวลาการทำธุรกรรมที่ต้องการ ผู้ใช้ต้องมี Ether ที่จำเป็นในการทำธุรกรรมและต้องชำระค่าธรรมเนียมก๊าซล่วงหน้า

จากโพสต์บน Twitter เมื่อวันที่ 19 ต.ค. จาก PeckShield บริษัทรักษาความปลอดภัยและวิเคราะห์ข้อมูลบล็อคเชน แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ในกระบวนการธุรกรรมตามกำหนดการ ซึ่งช่วยให้พวกเขาสามารถทำกำไรจากค่าธรรมเนียมก๊าซที่ส่งคืนจากธุรกรรมที่ถูกยกเลิก

กล่าวอย่างง่าย ๆ ผู้โจมตีเรียกฟังก์ชันการยกเลิกสัญญา Ethereum Alarm Clock โดยมีค่าธรรมเนียมการทำธุรกรรมที่สูงเกินจริง เนื่องจากโปรโตคอลไม่คืนเงินค่าธรรมเนียมก๊าซสำหรับธุรกรรมที่ยกเลิก ข้อบกพร่องในสัญญาอัจฉริยะได้คืนเงินค่าก๊าซให้แฮกเกอร์มากกว่าที่พวกเขาจ่ายในตอนแรก ทำให้พวกเขาสามารถพกส่วนต่างได้

“เราได้ยืนยันการเอารัดเอาเปรียบที่ใช้งานอยู่ซึ่งใช้ราคาก๊าซมหาศาลเพื่อหลอกล่อสัญญา TransactionRequestCore เพื่อรับรางวัลในราคาของเจ้าของเดิม อันที่จริง การเอารัดเอาเปรียบจ่าย 51% ของกำไรให้กับนักขุด ดังนั้นรางวัล MEV-Boost มหาศาลนี้” บริษัทเขียน

เพิ่ม PeckShield ในขณะนั้น พบที่อยู่ 24 รายการซึ่งใช้ประโยชน์จากจุดบกพร่องเพื่อรวบรวม “รางวัล” ที่ควรจะเป็น

บริษัท Supremacy Inc ซึ่งเป็น บริษัท รักษาความปลอดภัยของ Web3 ยังได้อัปเดตในอีกไม่กี่ชั่วโมงต่อมา โดยชี้ไปที่ประวัติการทำธุรกรรมของ Etherscan ที่แสดงให้เห็นว่าแฮกเกอร์สามารถรูด 204 ETH ได้จนถึงตอนนี้ซึ่งมีมูลค่าประมาณ 259,800 เหรียญสหรัฐในขณะที่เขียน

ตามที่ปรากฏ มีการขาดการอัปเดตในหัวข้อนี้เพื่อพิจารณาว่าการแฮกยังดำเนินอยู่หรือไม่ หากมีการแก้ไขจุดบกพร่อง หรือการโจมตีได้สิ้นสุดลงแล้ว นี่เป็นเรื่องราวที่กำลังพัฒนาและ Cointelegraph จะให้การอัปเดตเมื่อมีการเปิดเผย

แม้ว่าโดยทั่วไปแล้วเดือนตุลาคมจะเป็นเดือนที่เกี่ยวข้องกับการดำเนินการ แต่เดือนนี้ก็ยังเต็มไปด้วยการแฮก ตามรายงานของ Chainalysis เมื่อวันที่ 13 ต.ค. ได้มีการขโมยเงินไปแล้ว 718 ล้านดอลลาร์จากการแฮกในเดือนตุลาคม ทำให้เป็นเดือนที่การแฮกเยอะที่สุดในปี 2022

ที่มา : cointelegraph

แท็กที่เกี่ยวข้อง
Facebook
Twitter
LinkedIn