Uma falha no código do contrato inteligente para o serviço Ethereum Alarm Clock foi explorada por hackers. Quase US$ 260.000 foram roubados do protocolo até agora.
O Ethereum Alarm Clock permite que os usuários programem transações futuras pré-determinando o endereço do destinatário, o valor enviado e o horário desejado da transação. Os usuários devem ter o Ether (ETH) necessário em mãos para concluir a transação e precisam pagar as taxas de gás antecipadamente.
De acordo com uma postagem publicada no Twitter em 19 de outubro da empresa de análise de dados e segurança de blockchains PeckShield, os hackers têm conseguido explorar uma brecha no processo de transação agendada que lhes permite lucrar com as taxas de gás devolvidas de transações canceladas.
Em termos simples, os invasores essencialmente executaram funções de cancelamento em seus contratos Ethereum Alarm Clock com taxas de transação infladas. Como o protocolo estabelece um reembolso de taxa de gás para transações canceladas, uma falha no contrato inteligente está reembolsando aos hackers um valor maior de taxas de gás do que o inicialmente pago, permitindo que eles lucrem com a diferença.
“Confirmamos uma exploração ativa que faz uso de um preço de gás exorbitante para enganar o contrato TransactionRequestCore e ganhar a recompensa ao custo do proprietário original. De fato, a exploração paga 51% do lucro ao minerador, daí essa enorme recompensa do MEV-Boost ”, escreveu a empresa.
We've confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) October 19, 2022
A PeckShield acrescentou na época que havia detectado 24 endereços que estavam explorando a falha para embolsar as supostas “recompensas”.
A empresa de segurança Web3 Supremacy Inc também forneceu uma atualização algumas horas depois, apontando para o histórico de transações do Etherscan que mostrava que os hackers conseguiram roubar 204 ETH, no valor de aproximadamente US $ 259.800 no momento da redação deste artigo.
“Evento interessante de ataque, o contrato TransactionRequestCore tem quatro anos, pertence ao projeto ethereum-alarm-clock, que por sua vez tem sete anos, de fato, os hackers encontraram um código bastante antigo para atacar”, observou a empresa.
2/ The cancel function calculates the Transaction Fee (gas uesd * gas price) to be spent with the "gas used" over 85000 and transfers it to the caller. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) October 19, 2022
2/ A função cancelar calcula a Taxa de Transação (gás uesd * preço do gás) a ser gasto com o "gás usado" acima de 85.000 e transfere a diferença para o executor.
— Supremacy Inc. (@Supremacy_CA)
Do jeito que está, faltam atualizações sobre a questão para determinar se o hack está em andamento, se o bug foi corrigido ou se o ataque foi concluído. Esta é uma história em desenvolvimento e o Cointelegraph fornecerá atualizações à medida que houver atualizações.
Apesar de outubro geralmente ser um mês associado a movimentos de alta dos preços das criptomoedas, neste ano, até agora, outubiro tem se caracterizado por uma enormidade de hacks. De acordo com um relatório da Chainalysis de 13 de outubro, até aquela data já havia US$ 718 milhões roubados em hacks em outubro, configurarando-o como o maior mês para atividades de hackers em 2022.
LEIA MAIS