根据 Web3 安全公司 Supremacy 强调的交易历史,黑客在以太坊闹钟协议的 Gas Fee 操纵中窃取了约 204 ETH,价值约 259,800 美元。
黑客再次出击
黑客攻击了以太坊闹钟,这是一种用于安排以太坊交易的智能合约协议,通过操纵汽油费带走了价值高达 260,000 美元的 ETH。在其他几个更新中,区块链安全和数据分析公司 PeckShield Inc. 于 2022 年 10 月 19 日在 Twitter 上首次宣布了以太坊黑客攻击。
在宣布攻击时,PeckShield 表示:“我们已经确认了一个活跃的漏洞利用,它利用巨大的汽油价格来游戏 TransactionRequestCore 合约以获取原始所有者的奖励。” 根据 PeckShield 的说法,黑客可以利用以太坊闹钟协议的预定交易中的漏洞从汽油费中获利。
通过利用这一差距,攻击者设法从取消交易后退回的汽油费中获利。该漏洞返回的汽油费价值比黑客支付的要高,从而使他们能够获得利润。
以太坊闹钟是一种协议,允许用户通过设置收件人地址、发送金额和所需交易时间来安排即将发生的交易。用户必须拥有必要数量的以太 (ETH) 和汽油费才能处理此协议上的交易。
为了实施黑客攻击,攻击者利用虚高的交易费用在他们的以太坊闹钟合约上调用取消功能。由于协议的智能合约存在缺陷,黑客可以从协议退还的取消交易的汽油费中获得巨额回报。
“由于矿工从漏洞利用中获得了 51% 的收益,MEV-Boost 可以提供更大的回报,” PeckShield 解释说。
截至昨天下午,PeckShield 仅发现了 24 个利用该漏洞获得所谓“奖励”的地址。
Web3 生态系统安全公司 Supremacy Inc. 也提供了有关黑客攻击的更新。参考以太坊闹钟协议的 Etherscan 交易历史,Supremacy 表示,在撰写本文时价值约 259,800 美元的 204 ETH 已被盗。
在解释黑客攻击时,Supremacy指出,以太坊协议上的取消功能将交易费用计算为使用的气体乘以气体价格,该费用将与超过 85000 的“使用的气体”一起花费,并将其转移给调用者。
在其推文中,Supremacy Inc. 将这次黑客攻击描述为有趣,并指出以太坊闹钟项目中使用的代码大约有四年的历史,黑客挖掘出如此古老的代码进行攻击很有趣。
“有趣的攻击事件,Transaction Request Core 合约已经四年了,它属于以太坊闹钟项目,这个项目已经七年了,黑客居然找到了这么旧的代码来攻击,” Supremacy 观察到。
到目前为止,大约 260,000 美元已被黑客带走,目前尚不清楚该漏洞是否已修复,攻击是否已经结束或仍在进行中。
来源:金色财经