มีรายงานว่าบั๊กในโค้ด smart contract สำหรับบริการ Ethereum Alarm Clock ถูกนำไปใช้ประโยชน์ โดยเกือบ 260,000 ดอลลาร์ถูกขโมยออกจากโปรโตคอลไปแล้ว
Ethereum Alarm Clock ช่วยให้ผู้ใช้สามารถกำหนดเวลาการทำธุรกรรมในอนาคตโดยการกำหนดที่อยู่ผู้รับล่วงหน้า จำนวนที่ส่ง และเวลาการทำธุรกรรมที่ต้องการ ผู้ใช้ต้องมี Ether ที่จำเป็นในการทำธุรกรรมและต้องชำระค่าธรรมเนียมก๊าซล่วงหน้า
จากโพสต์บน Twitter เมื่อวันที่ 19 ต.ค. จาก PeckShield บริษัทรักษาความปลอดภัยและวิเคราะห์ข้อมูลบล็อคเชน แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ในกระบวนการธุรกรรมตามกำหนดการ ซึ่งช่วยให้พวกเขาสามารถทำกำไรจากค่าธรรมเนียมก๊าซที่ส่งคืนจากธุรกรรมที่ถูกยกเลิก
กล่าวอย่างง่าย ๆ ผู้โจมตีเรียกฟังก์ชันการยกเลิกสัญญา Ethereum Alarm Clock โดยมีค่าธรรมเนียมการทำธุรกรรมที่สูงเกินจริง เนื่องจากโปรโตคอลไม่คืนเงินค่าธรรมเนียมก๊าซสำหรับธุรกรรมที่ยกเลิก ข้อบกพร่องในสัญญาอัจฉริยะได้คืนเงินค่าก๊าซให้แฮกเกอร์มากกว่าที่พวกเขาจ่ายในตอนแรก ทำให้พวกเขาสามารถพกส่วนต่างได้
“เราได้ยืนยันการเอารัดเอาเปรียบที่ใช้งานอยู่ซึ่งใช้ราคาก๊าซมหาศาลเพื่อหลอกล่อสัญญา TransactionRequestCore เพื่อรับรางวัลในราคาของเจ้าของเดิม อันที่จริง การเอารัดเอาเปรียบจ่าย 51% ของกำไรให้กับนักขุด ดังนั้นรางวัล MEV-Boost มหาศาลนี้” บริษัทเขียน
We've confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) October 19, 2022
เพิ่ม PeckShield ในขณะนั้น พบที่อยู่ 24 รายการซึ่งใช้ประโยชน์จากจุดบกพร่องเพื่อรวบรวม “รางวัล” ที่ควรจะเป็น
บริษัท Supremacy Inc ซึ่งเป็น บริษัท รักษาความปลอดภัยของ Web3 ยังได้อัปเดตในอีกไม่กี่ชั่วโมงต่อมา โดยชี้ไปที่ประวัติการทำธุรกรรมของ Etherscan ที่แสดงให้เห็นว่าแฮกเกอร์สามารถรูด 204 ETH ได้จนถึงตอนนี้ซึ่งมีมูลค่าประมาณ 259,800 เหรียญสหรัฐในขณะที่เขียน
2/ The cancel function calculates the Transaction Fee (gas uesd * gas price) to be spent with the "gas used" over 85000 and transfers it to the caller. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) October 19, 2022
ตามที่ปรากฏ มีการขาดการอัปเดตในหัวข้อนี้เพื่อพิจารณาว่าการแฮกยังดำเนินอยู่หรือไม่ หากมีการแก้ไขจุดบกพร่อง หรือการโจมตีได้สิ้นสุดลงแล้ว นี่เป็นเรื่องราวที่กำลังพัฒนาและ Cointelegraph จะให้การอัปเดตเมื่อมีการเปิดเผย
แม้ว่าโดยทั่วไปแล้วเดือนตุลาคมจะเป็นเดือนที่เกี่ยวข้องกับการดำเนินการ แต่เดือนนี้ก็ยังเต็มไปด้วยการแฮก ตามรายงานของ Chainalysis เมื่อวันที่ 13 ต.ค. ได้มีการขโมยเงินไปแล้ว 718 ล้านดอลลาร์จากการแฮกในเดือนตุลาคม ทำให้เป็นเดือนที่การแฮกเยอะที่สุดในปี 2022
ที่มา : cointelegraph
