Réveil Ethereum ciblé dans Hacktober

Le service Ethereum Alarm Clock a été victime du dernier exploit Hacktober, entraînant des pertes d'une valeur de 260,000 XNUMX $. 

PeckShield signale une attaque de réveil

Environ 260,000 XNUMX dollars d'ETH ont été détournés lorsque des pirates ont exploité un bogue dans le code de contrat intelligent du service Ethereum Alarm Clock. La nouvelle a d'abord été portée à la connaissance du public par la société de sécurité et d'analyse de données blockchain PeckShield, qui a révélé que les pirates avaient réussi à manipuler une faille dans le code de planification, leur permettant de profiter des frais de gaz remboursés sur les transactions annulées. Actuellement, le protocole peut être utilisé pour programmer des transactions futures en saisissant une adresse de destinataire, le montant des fonds à transférer et l'heure de la transaction. Les utilisateurs doivent conserver la quantité nécessaire d'Ether pour payer les frais de gaz pour la transaction à l'avance. En cas de transactions annulées, les frais de gaz déduits sont remboursés au portefeuille d'origine.

Mécanisme d'exploitation expliqué

Le mécanisme d'exploitation peut se résumer à des attaquants appelant des fonctions d'annulation sur leurs contrats Ethereum Alarm Clock avec des frais de transaction gonflés. Un bogue dans le contrat intelligent a remboursé aux auteurs une valeur plus élevée des frais de gaz que ce qu'ils avaient initialement payé. PeckShield a rapporté que 51% de ce remboursement gonflé a été versé aux mineurs, augmentant ainsi leur valeur extractible par les mineurs (MEV). 

La firme a tweeté, 

«Nous avons confirmé un exploit actif qui utilise le prix énorme du gaz pour jouer le contrat TransactionRequestCore contre une récompense au détriment du propriétaire d'origine. En fait, l'exploit rapporte 51% du profit au mineur, d'où cette énorme récompense MEV-Boost.

Selon une autre société de sécurité, Supremacy Inc., l'exploit a entraîné une perte d'environ 204 ETH. 

Hacktober continue

2022 a déjà vu un nombre record de hacks DeFi. L'attaque Alarm Clock est la dernière d'une longue série de hacks de protocoles qui ont exploité des bogues dans les codes de contrats intelligents, en particulier au mois d'octobre, qui est également surnommé Hacktober. Plus récemment, Marché de Moola a été piraté pour 9 millions de dollars en manipulant le prix du jeton MOO natif du protocole de prêt en achetant pour 45,000 500,000 $ du jeton et en le déposant en garantie pour emprunter des jetons CELO. Heureusement, le pirate a rendu la plupart des fonds tout en conservant XNUMX XNUMX $ en prime de bogue. D'autres protocoles qui ont été exploités en octobre incluent le Portefeuille BitKeep et protocole DeFi sovryn, qui ont tous deux perdu environ un million de dollars chacun. Cependant, le plus remarquable est le Marchés de la mangue hack, qui a entraîné le détournement de fonds d'une valeur de 117 $ de la plateforme de prêt au cours de la deuxième semaine de Hacktober. 

Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.