Sebuah bug dalam kode kontrak pintar untuk layanan Jam Alarm Ethereum dilaporkan telah dieksploitasi, dengan hampir $260,000 dikatakan telah dihapus dari protokol sejauh ini.
Jam Alarm Ethereum memungkinkan pengguna untuk menjadwalkan transaksi di masa mendatang dengan menentukan alamat penerima, jumlah yang dikirim, dan waktu transaksi yang diinginkan sebelumnya. Pengguna harus memiliki Eter yang diperlukan (ETH) siap untuk menyelesaikan transaksi dan perlu membayar biaya gas di muka.
Menurut posting Twitter 19 Oktober dari perusahaan keamanan blockchain dan analisis data PeckShield, peretas berhasil mengeksploitasi celah dalam proses transaksi terjadwal, yang memungkinkan mereka mendapat untung dari biaya gas yang dikembalikan dari transaksi yang dibatalkan.
Secara sederhana, penyerang pada dasarnya menyebut fungsi pembatalan pada kontrak Jam Alarm Ethereum mereka dengan biaya transaksi yang meningkat. Saat protokol mengeluarkan pengembalian biaya gas untuk transaksi yang dibatalkan, bug dalam kontrak pintar telah mengembalikan uang kepada peretas dengan nilai biaya gas yang lebih besar daripada yang mereka bayarkan pada awalnya, memungkinkan mereka untuk mengantongi selisihnya.
“Kami telah mengkonfirmasi eksploitasi aktif yang menggunakan harga gas yang sangat besar untuk memainkan kontrak TransactionRequestCore untuk hadiah dengan mengorbankan pemilik aslinya. Faktanya, eksploitasi membayar 51% dari keuntungan kepada penambang, oleh karena itu hadiah MEV-Boost yang sangat besar ini, ”tulis perusahaan itu.
Kami telah mengkonfirmasi eksploitasi aktif yang menggunakan harga gas yang sangat besar untuk memainkan kontrak TransactionRequestCore untuk hadiah dengan mengorbankan pemilik asli. Faktanya, eksploit membayar 51% dari keuntungan kepada penambang, karenanya hadiah MEV-Boost yang sangat besar ini. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Oktober 19, 2022
PeckShield menambahkan pada saat itu, ia telah melihat 24 alamat yang telah mengeksploitasi bug untuk mengumpulkan "hadiah" yang seharusnya.
Perusahaan keamanan Web3 Supremacy Inc juga memberikan pembaruan beberapa jam kemudian, menunjuk ke riwayat transaksi Etherscan yang menunjukkan bahwa peretas sejauh ini mampu menggesek 204 ETH, senilai sekitar $259,800 pada saat penulisan.
“Acara serangan yang menarik, kontrak TransactionRequestCore berumur empat tahun, itu milik proyek ethereum-alarm-clock, proyek ini berumur tujuh tahun, peretas benar-benar menemukan kode lama untuk menyerang,” perusahaan mencatat.
2/ Fungsi pembatalan menghitung Biaya Transaksi (gas uesd * harga gas) yang akan dikeluarkan dengan "gas yang digunakan" lebih dari 85000 dan mentransfernya ke pemanggil. pic.twitter.com/aXyad0oDPv
— Supremasi Inc. (@Supremasi_CA) Oktober 19, 2022
Seperti yang terjadi, ada kekurangan pembaruan pada topik untuk menentukan apakah peretasan sedang berlangsung, apakah bug telah ditambal atau apakah serangan telah berakhir. Ini adalah cerita yang berkembang dan Cointelegraph akan memberikan pembaruan saat terungkap.
Meskipun Oktober umumnya menjadi bulan yang terkait dengan aksi bullish, bulan ini sejauh ini penuh dengan peretasan. Menurut laporan Chainalysis dari 13 Oktober, sudah ada $718 juta dicuri dari peretasan pada bulan Oktober, menjadikannya bulan terbesar untuk aktivitas peretasan pada tahun 2022.
Sumber: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far