El servicio Ethereum Alarm Clock ha sido víctima del último exploit Hacktober que resultó en pérdidas por valor de $ 260,000.
PeckShield informa ataque de despertador
Se desviaron alrededor de $ 260,000 en ETH cuando los piratas informáticos explotaron un error en el código del contrato inteligente para el servicio Ethereum Alarm Clock. La noticia fue dada a conocer por primera vez por la empresa de análisis de datos y seguridad blockchain PeckShield, que reveló que los piratas informáticos habían logrado manipular una laguna en el código de programación, lo que les permitió beneficiarse de las tarifas de gasolina devueltas en las transacciones canceladas. Actualmente, el protocolo se puede emplear para programar transacciones futuras ingresando la dirección del destinatario, la cantidad de fondos que se transferirán y la hora de la transacción. Los usuarios deben mantener la cantidad necesaria de Ether para pagar las tarifas de gas por la transacción por adelantado. En el caso de transacciones canceladas, las tarifas de gas deducidas se reembolsan a la billetera de origen.
Explicación del mecanismo de explotación
El mecanismo de explotación se puede resumir como atacantes que solicitan funciones de cancelación en sus contratos de Ethereum Alarm Clock con tarifas de transacción infladas. Un error en el contrato inteligente ha estado reembolsando a los perpetradores un valor más alto de las tarifas de gas de lo que pagaron inicialmente. PeckShield informó que el 51 % de este reembolso inflado se pagó a los mineros, lo que aumentó su valor extraíble del minero (MEV).
La firma tuiteó,
“Hemos confirmado un exploit activo que hace uso de un enorme precio de la gasolina para manipular el contrato TransactionRequestCore a cambio de una recompensa a expensas del propietario original. De hecho, el exploit paga el 51% de las ganancias al minero, de ahí esta enorme recompensa de MEV-Boost”.
Según otra empresa de seguridad, Supremacy Inc., el exploit resultó en una pérdida de alrededor de 204 ETH.
Hacktober continúa
2022 ya ha visto un número récord de hacks de DeFi. El ataque Alarm Clock es el último de una larga lista de hacks de protocolo que han explotado errores en los códigos de contratos inteligentes, especialmente en el mes de octubre, que también se denomina Hacktober. Más reciente, Mercado de Moola fue pirateado por $ 9 millones manipulando el precio del token MOO nativo del protocolo de préstamo al comprar $ 45,000 del token y depositarlo como garantía para tomar prestados tokens CELO. Afortunadamente, el pirata informático devolvió la mayor parte de los fondos y retuvo $ 500,000 como recompensa por errores. Otros protocolos que se explotaron este octubre incluyen el Billetera BitKeep y protocolo DeFi sovryn, que ambos perdieron alrededor de un millón de dólares cada uno. Sin embargo, lo más destacable es el Mercados del mango pirateo, lo que resultó en fondos por valor de $ 117 desviados de la plataforma de préstamos en la segunda semana de Hacktober.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/10/ethereum-alarm-clock-targeted-in-hacktober