Uma falha no código do contrato inteligente para o serviço Ethereum Alarm Clock foi explorada por hackers. Quase US$ 260.000 foram roubados do protocolo até agora.

O Ethereum Alarm Clock permite que os usuários programem transações futuras pré-determinando o endereço do destinatário, o valor enviado e o horário desejado da transação. Os usuários devem ter o Ether (ETH) necessário em mãos para concluir a transação e precisam pagar as taxas de gás antecipadamente.

De acordo com uma postagem publicada no Twitter em 19 de outubro da empresa de análise de dados e segurança de blockchains PeckShield, os hackers têm conseguido explorar uma brecha no processo de transação agendada que lhes permite lucrar com as taxas de gás devolvidas de transações canceladas.

Em termos simples, os invasores essencialmente executaram funções de cancelamento em seus contratos Ethereum Alarm Clock com taxas de transação infladas. Como o protocolo estabelece um reembolso de taxa de gás para transações canceladas, uma falha no contrato inteligente está reembolsando aos hackers um valor maior de taxas de gás do que o inicialmente pago, permitindo que eles lucrem com a diferença.

“Confirmamos uma exploração ativa que faz uso de um preço de gás exorbitante para enganar o contrato TransactionRequestCore e ganhar a recompensa ao custo do proprietário original. De fato, a exploração paga 51% do lucro ao minerador, daí essa enorme recompensa do MEV-Boost ”, escreveu a empresa.

A PeckShield acrescentou na época que havia detectado 24 endereços que estavam explorando a falha para embolsar as supostas “recompensas”.

A empresa de segurança Web3 Supremacy Inc também forneceu uma atualização algumas horas depois, apontando para o histórico de transações do Etherscan que mostrava que os hackers conseguiram roubar 204 ETH, no valor de aproximadamente US $ 259.800 no momento da redação deste artigo.

“Evento interessante de ataque, o contrato TransactionRequestCore tem quatro anos, pertence ao projeto ethereum-alarm-clock, que por sua vez tem sete anos, de fato, os hackers encontraram um código bastante antigo para atacar”, observou a empresa.

2/ A função cancelar calcula a Taxa de Transação (gás uesd * preço do gás) a ser gasto com o "gás usado" acima de 85.000 e transfere a diferença para o executor.

— Supremacy Inc. (@Supremacy_CA)

Do jeito que está, faltam atualizações sobre a questão para determinar se o hack está em andamento, se o bug foi corrigido ou se o ataque foi concluído. Esta é uma história em desenvolvimento e o Cointelegraph fornecerá atualizações à medida que houver atualizações.

Apesar de outubro geralmente ser um mês associado a movimentos de alta dos preços das criptomoedas, neste ano, até agora, outubiro tem se caracterizado por uma enormidade de hacks. De acordo com um relatório da Chainalysis de 13 de outubro, até aquela data já havia US$ 718 milhões roubados em hacks em outubro, configurarando-o como o maior mês para atividades de hackers em 2022.

LEIA MAIS