Berichten zufolge wurde ein Fehler im Smart-Contract-Code für den Ethereum-Weckerdienst ausgenutzt, wobei bisher fast 260.000 US-Dollar aus dem Protokoll geklaut worden sein sollen.
Der Ethereum-Wecker ermöglicht es Benutzern, zukünftige Transaktionen zu planen, indem sie die Empfängeradresse, den gesendeten Betrag und die gewünschte Transaktionszeit im Voraus festlegen. Benutzer müssen den erforderlichen Ether (ETH) zur Hand haben, um die Transaktion abzuschließen, und die Gasgebühren im Voraus bezahlen.
Laut einem Twitter-Beitrag des Blockchain-Sicherheits- und Datenanalyseunternehmens PeckShield vom 19. Oktober gelang es Hackern, eine Lücke im geplanten Transaktionsprozess auszunutzen, die es ihnen ermöglicht, einen Gewinn aus den zurückgegebenen Gasgebühren aus stornierten Transaktionen zu erzielen.
Einfach ausgedrückt, die Angreifer nannten im Wesentlichen Stornierungsfunktionen für ihre Ethereum-Weckerverträge mit überhöhten Transaktionsgebühren. Während das Protokoll eine Gasgebührenrückerstattung für stornierte Transaktionen austeilt, hat ein Fehler im Smart Contract den Hackern einen höheren Wert an Gasgebühren erstattet, als sie ursprünglich bezahlt hatten, sodass sie die Differenz einstecken konnten.
„Wir haben einen aktiven Exploit bestätigt, der einen enormen Gaspreis nutzt, um den TransactionRequestCore-Vertrag auf Kosten des ursprünglichen Eigentümers gegen eine Belohnung zu spielen. Tatsächlich zahlt der Exploit 51 % des Gewinns an den Miner, daher diese riesige MEV-Boost-Belohnung“, schrieb die Firma.
Wir haben einen aktiven Exploit bestätigt, der einen enormen Gaspreis nutzt, um den TransactionRequestCore-Vertrag gegen eine Belohnung auf Kosten des ursprünglichen Eigentümers zu spielen. Tatsächlich zahlt der Exploit 51 % des Gewinns an den Miner, daher diese riesige MEV-Boost-Belohnung. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
– PeckShield Inc. (@peckshield) 19. Oktober 2022
PeckShield fügte damals hinzu, es habe 24 Adressen entdeckt, die den Fehler ausgenutzt hätten, um die angeblichen „Belohnungen“ zu sammeln.
Die Web3-Sicherheitsfirma Supremacy Inc. stellte einige Stunden später auch ein Update bereit, das auf den Etherscan-Transaktionsverlauf hinwies, der zeigte, dass die Hacker bisher in der Lage waren, 204 ETH zu stehlen, die zum Zeitpunkt des Schreibens dieses Artikels etwa 259.800 US-Dollar wert waren.
„Interessantes Angriffsereignis, TransactionRequestCore-Vertrag ist vier Jahre alt, er gehört zum Ethereum-Alarm-Clock-Projekt, dieses Projekt ist sieben Jahre alt, Hacker haben tatsächlich so einen alten Code zum Angriff gefunden“, bemerkte die Firma.
2/ Die Stornofunktion berechnet die Transaktionsgebühr (Gasverbrauch * Gaspreis), die mit dem “verbrauchten Gas” über 85000 ausgegeben werden soll, und überweist sie an den Anrufer. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) 19. Oktober 2022
Derzeit fehlt es an Updates zu diesem Thema, um festzustellen, ob der Hack noch andauert, ob der Fehler behoben wurde oder ob der Angriff abgeschlossen ist. Dies ist eine sich entwickelnde Geschichte und Cointelegraph wird Updates bereitstellen, während sie sich entfaltet.
Obwohl der Oktober im Allgemeinen ein Monat ist, der mit Aufwärtsbewegungen in Verbindung gebracht wird, war dieser Monat bisher voller Hacks. Laut einem Chainalysis-Bericht vom 13. Oktober wurden im Oktober bereits 718 Millionen US-Dollar durch Hacks gestohlen, was ihn zum größten Monat für Hackeraktivitäten im Jahr 2022 macht.