بهره برداری از ساعت زنگ دار اتریوم تا کنون به ۲۶۰۰۰۰ دلار در هزینه های گاز سرقتی منجر شده است

شرکت امنیتی Web3 Supremacy تاریخچه تراکنش‌های Etherscan را برجسته کرد که نشان می‌دهد هکرها تاکنون توانسته‌اند ۲۰۴ ETH از قبض‌های گاز را به ارزش حدود ۲۵۹۸۰۰ دلار بکشند.

گزارش شده است که یک اشکال در کد قرارداد هوشمند سرویس ساعت زنگ دار اتریوم مورد سوء استفاده قرار گرفته است و گفته می شود که تاکنون حدود ۲۶۰۰۰۰ دلار از این پروتکل به سرقت رفته است.

ساعت زنگ دار اتریوم به کاربران این امکان را می دهد تا با از پیش تعیین آدرس گیرنده، مبلغ انتقال و زمان تراکنش مورد نظر، تراکنش های آینده را برنامه ریزی کنند. کاربر برای تکمیل تراکنش باید اتر مورد نیاز (ETH) را در دسترس داشته باشد و باید هزینه گاز را پیش‌پرداخت کند.

بر اساس یک پست توییتری توسط شرکت امنیتی بلاک چین و تجزیه و تحلیل داده PeckShield در ۱۹ اکتبر، هکرها توانستند از یک حفره در فرآیند تراکنش برنامه ریزی شده سوء استفاده کنند و از هزینه های گاز برگشتی از تراکنش های لغو شده سود ببرند.

به زبان ساده، مهاجمان اساساً عملکرد لغو قرارداد ساعت زنگ دار اتریوم را با کارمزد تراکنش بالا نامیدند. از آنجایی که پروتکل هزینه های گاز را برای تراکنش های لغو شده بازپرداخت می کند، یک اشکال در قرارداد هوشمند به هکرها این امکان را می دهد که هزینه های گاز را بیشتر از آنچه در ابتدا پرداخت کرده بودند بازپرداخت کنند و تفاوت را به جیب بزنند.

این شرکت نوشت: “ما شاهد بهره برداری های فعالی بودیم که قرارداد TransactionRequestCore را دستکاری کردند تا از قیمت های هنگفت بنزین برای دریافت پاداش به هزینه مالک اصلی بهره ببرند. شما این پاداش عظیم MEV-Boost را دریافت خواهید کرد.”

ما شاهد بهره‌برداری‌های فعالی بوده‌ایم که قرارداد TransactionRequestCore را دستکاری می‌کنند تا از قیمت‌های هنگفت بنزین برای پاداش‌هایی که هزینه مالک اصلی آن است، استفاده کنند. در واقع، این اکسپلویت ۵۱ درصد از سود را به ماینرها می پردازد، از این رو این پاداش عظیم MEV-Boost به دست می آید. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp

— PeckShield Inc. (@peckshield) ۱۹ اکتبر ۲۰۲۲

PeckShield افزود که در آن زمان، ۲۴ آدرس را کشف کرد که از این باگ برای جمع آوری “پاداش” فرضی سوء استفاده می کردند.

شرکت امنیتی Web3 Supremacy Inc نیز ساعاتی بعد به‌روزرسانی را ارائه کرد و به تاریخچه تراکنش‌های Etherscan اشاره کرد که نشان می‌دهد هکرها تاکنون توانسته‌اند ۲۰۴ ETH (به ارزش حدود ۲۵۹۸۰۰ دلار در زمان نگارش) را بکشند.

این شرکت گفت: “رویداد حمله جالب. قرارداد TransactionRequestCore 4 ساله است و متعلق به پروژه ساعت زنگ دار اتریوم است.”

۲/ تابع لغو است "گاز استفاده شده" فوروارد به تماس گیرندگان بالای ۸۵۰۰۰. pic.twitter.com/aXyad0oDPv

— Supremacy Inc. (@Supremacy_CA) ۱۹ اکتبر ۲۰۲۲

همانطور که وجود دارد، ما فاقد به روز رسانی در مورد موضوع هستیم تا مشخص کنیم که آیا هک ادامه دارد، آیا باگ اصلاح شده است یا آیا حمله به پایان رسیده است.

ماه اکتبر به طور کلی با حرکات صعودی همراه است، اما این ماه تاکنون برای هک‌ها پربار بوده است. توسط هک به سرقت رفته است و آن را به ماه سال ۲۰۲۲ تبدیل کرده است که بیشترین فعالیت هک را دارد.

نویسنده: Brian Quarmby