以太坊闹钟漏洞导致 260,000 美元汽油费被盗

Web3 安全公司 Supremacy 重点介绍了 Etherscan 的交易历史26以太坊价格，显示黑客迄今已窃取 204 ETH 的汽油费，价值约 259,800 美元。

据报道，以太坊闹钟服务的智能合约代码中的一个错误已被利用，据说到目前为止已从该协议中窃取了近 260,000 美元。

以太坊闹钟使用户能够通过预先确定收件人地址、发送金额和所需的交易时间来安排未来的交易。 用户必须拥有所需的以太币（Ethereum）才能完成交易，并且需要提前支付Gas费。

根据区块链安全和数据分析公司 PeckShield 于 10 月 19 日发布的 Twitter 帖子，黑客设法利用了预定交易流程中的一个缺陷，使他们能够从取消交易的退还汽油费中获利。

简单来说，攻击者实质上是在他们的以太坊闹钟合约上调用取消函数并添加交易费用。 由于协议为取消的交易提供 gas 退款，智能合约中的一个错误一直在向黑客返还比他们最初支付的 gas 更高的价值，从而使他们能够将差额收入囊中。

“我们已经确定了一个活跃的漏洞，它使用巨大的 gas 价格来博弈 TransactionRequestCore 合约以从原始所有者那里获得奖励。 事实上，该漏洞利用程序向矿工支付了 51% 的利润，从而获得了巨额的 MEV-Boost 奖励，”该公司写道。

我们已经确定了一个活跃的漏洞，它使用巨大的 gas 价格来博弈 TransactionRequestCore 合约以从原始所有者那里获得奖励。 事实上，该漏洞利用程序将 51% 的利润支付给了矿工，从而获得了巨额的 MEV-Boost 奖励。

- PeckShield Inc. (@peckshield) 2022 年 10 月 19 日

PeckShield 当时补充说，它发现了 24 个地址，这些地址一直在利用该漏洞收集所谓的“奖励”。

几个小时后26以太坊价格，Web3 安全公司 Supremacy Inc 也提供了更新，称 Etherscan 交易历史显示黑客到目前为止能够刷取 204 个 ETH，在撰写本文时价值约 259,800 美元。

“有趣的攻击，TransactionRequestCore 合约已有四年历史，属于七年历史的以太坊闹钟项目，黑客找到了这样的旧代码进行攻击，”该公司指出。

2/ cancel函数计算“gas used”超过85,000所需的交易费用（gasuesd * gas price）并转给调用方。 - Supremacy Inc. (@Supremacy_CA) 2022 年 10 月 19 日

就目前而言，缺乏关于该主题的更新来确定黑客攻击是否正在进行、漏洞是否已被修补或攻击是否已经结束。 这是一个发展中的故事，Cointelegraph 将在故事展开时提供更新。

尽管 10 月通常是与看涨行为相关的月份，但到目前为止，该月一直充斥着黑客攻击。 根据 Chainalysis 10 月 13 日的一份报告，10 月黑客窃取了 7.18 亿美元，成为 2022 年黑客攻击最多的月份。