Según los informes, se ha explotado un error en el código del contrato inteligente para el servicio Ethereum Alarm Clock, y hasta el momento se ha robado casi $ 260,000 del protocolo.
El reloj despertador de Ethereum permite a los usuarios programar transacciones futuras al predeterminar la dirección del destinatario, el monto enviado y el momento deseado de la transacción. Los usuarios deben tener a mano el Ether (ETH) requerido para completar la transacción y deben pagar las tarifas de gas por adelantado.
Según una publicación de Twitter del 19 de octubre de la firma de análisis de datos y seguridad blockchain PeckShield, los piratas informáticos lograron explotar una laguna en el proceso de transacción programada que les permite obtener ganancias de las tarifas de gas devueltas de las transacciones canceladas.
En términos simples, los atacantes esencialmente llamaron a las funciones de cancelación en sus contratos Ethereum Alarm Clock con tarifas de transacción infladas. A medida que el protocolo reparte un reembolso de la tarifa del gas por las transacciones canceladas, un error en el contrato inteligente ha estado reembolsando a los piratas informáticos un valor mayor de las tarifas del gas del que pagaron inicialmente, lo que les permite embolsarse la diferencia.
“Hemos confirmado un exploit activo que hace uso de un enorme precio de la gasolina para manipular el contrato TransactionRequestCore a cambio de una recompensa a expensas del propietario original. De hecho, el exploit paga el 51% de las ganancias al minero, de ahí esta enorme recompensa de MEV-Boost”, escribió la firma.
Hemos confirmado un exploit activo que hace uso de un gran precio de la gasolina para jugar con el contrato TransactionRequestCore a cambio de una recompensa a expensas del propietario original. De hecho, el exploit paga el 51% de la ganancia al minero, de ahí esta enorme recompensa de MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) 19 de octubre de 2022
PeckShield agregó en ese momento que había detectado 24 direcciones que habían estado explotando el error para recolectar las supuestas “recompensas”.
La frim de seguridad Web3 Supremacy Inc también proporcionó una actualización unas horas más tarde, señalando el historial de transacciones de Etherscan que mostraba que los piratas informáticos hasta ahora podían deslizar 204 ETH, con un valor aproximado de $ 259,800 en el momento de escribir este artículo.
“Evento de ataque interesante, el contrato TransactionRequestCore tiene cuatro años, pertenece al proyecto ethereum-alarm-clock, este proyecto tiene siete años, los piratas informáticos en realidad encontraron un código tan antiguo para atacar”, señaló la firma.
2/ La función de cancelación calcula la tarifa de transacción (gas usd * precio del gas) que se gastará con el “gas usado” por encima de 85000 y se la transfiere a la persona que llama. pic.twitter.com/aXyad0oDPv
— Supremacía Inc. (@Supremacy_CA) 19 de octubre de 2022
Tal como está, ha habido una falta de actualizaciones sobre el tema para determinar si el ataque está en curso, si el error se ha reparado o si el ataque ha concluido. Esta es una historia en desarrollo y Cointelegraph proporcionará actualizaciones a medida que se desarrolle.
A pesar de que octubre generalmente es un mes asociado con la acción alcista, hasta ahora este mes ha estado plagado de hacks. Según un informe de Chainalysis del 13 de octubre, ya se habían robado 718 millones de dólares de hacks en octubre, lo que lo convierte en el mes más grande para la actividad de hacking en 2022.
Esta es una historia traducida del inglés. Lee la fuente en inglés