El exploit de Ethereum Alarm Clock hace que el total en tarifas de gas robadas hasta el momento llegue hasta los USD 260,000
Un fallo en el código del contrato inteligente del servicio Ethereum Alarm Clock ha sido sufrido un exploit, y se dice que se han robado casi USD 260,000 del protocolo hasta ahora.
El servicio Ethereum Alarm Clock les permite a los usuarios programar futuras transacciones determinando previamente la dirección del receptor, la cantidad enviada y la hora deseada de la transacción. Los usuarios deben tener a mano el Ether (ETH) necesario para completar la transacción y tienen que pagar las tasas de gas por adelantado.
Según una publicación en Twitter del 19 de octubre de la empresa de seguridad de blockchain y análisis de datos PeckShield, los hackers lograron explotar una laguna en el proceso de transacción programada, que les permite obtener una ganancia de las tarifas de gas devueltas de las transacciones canceladas.
En términos simples, los atacantes esencialmente solicitan las funciones de cancelación en sus contratos de Ethereum Alarm Clock con tarifas de transacción infladas. Como el protocolo reparte un reembolso de las tasas de gas por las transacciones canceladas, un error en el contrato inteligente ha estado devolviéndoles a los hackers un valor mayor de las tasas de gas que pagaron inicialmente, lo que les permite embolsarse la diferencia.
“Hemos confirmado un exploit activo que hace uso del enorme precio del gas para jugar con el contrato TransactionRequestCore para obtener una recompensa a costa del propietario original. De hecho, el exploit paga el 51% del beneficio al minero; de ahí viene esta enorme recompensa de MEV-Boost”, escribió la firma.
We’ve confirmed an active exploit that makes use of huge gas price to game the TransactionRequestCore contract for reward at the cost of original owner. In fact, the exploit pays the 51% of the profit to the miner, hence this huge MEV-Boost reward. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
— PeckShield Inc. (@peckshield) October 19, 2022
Hemos confirmado un exploit activo que hace uso del enorme precio del gas para jugar con el contrato TransactionRequestCore para obtener una recompensa a costa del propietario original. De hecho, el exploit paga el 51% del beneficio al minero; de ahí esta enorme recompensa de MEV-Boost. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
PeckShield añadió en su momento que había detectado 24 direcciones que habían estado explotando el fallo para cobrar las supuestas “recompensas”.
La firma de seguridad Web3 Supremacy Inc también proporcionó una actualización unas horas más tarde, señalando el historial de transacciones de Etherscan que mostraba que el o los hackers habían sido capaces de robar hasta ahora 204 ETH, con un valor aproximado de USD 259,800 en el momento de escribir este artículo.
“Es un interesante evento de ataque: el contrato TransactionRequestCore tiene cuatro años, pertenece al proyecto ethereum-alarm-clock, y tiene siete años. Los hackers realmente encontraron un código tan antiguo que atacar”, señaló la firma.
2/ The cancel function calculates the Transaction Fee (gas uesd * gas price) to be spent with the “gas used” over 85000 and transfers it to the caller. pic.twitter.com/aXyad0oDPv
— Supremacy Inc. (@Supremacy_CA) October 19, 2022
2/ La función de cancelación calcula la Tarifa de Transacción (gas usado * precio del gas) que se gastará con el “gas usado” más de 85,000 y lo transfiere a la persona que hace la solicitud. pic.twitter.com/aXyad0oDPv
Han faltado actualizaciones sobre el tema para determinar si el hackeo continúa, si el fallo ha sido parcheado o si el ataque ha concluido. Esta es una historia en desarrollo y Cointelegraph proporcionará actualizaciones a medida que se desarrolle.
A pesar de que octubre suele ser un mes asociado a la acción alcista, este mes hasta ahora ha estado plagado de hackeos. Según un informe de Chainalysis del 13 de octubre, ya se han robado USD 718 millones en hackeos en octubre, lo que lo convierte en el mayor mes de actividad de hackeo en 2022.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.