L’exploit d’Ethereum Alarm Clock entraîne jusqu’à présent 260 000 $ de frais d’essence volés
Une faille dans le code de contrat intelligent du service Ethereum Alarm Clock aurait été exploitée, avec près de 260 000 $ qui auraient été volés du protocole jusqu’à présent.
Ethereum Alarm Clock permet aux utilisateurs de planifier de futures transactions en prédéterminant l’adresse du destinataire, le montant envoyé et l’heure souhaitée de la transaction. Les utilisateurs doivent disposer de l’Ether (ETH) nécessaire pour effectuer la transaction et doivent payer les frais de gaz à l’avance.
Selon une publication Twitter du 19 octobre de la société de sécurité et d’analyse de données blockchain PeckShield, les pirates ont pu exploiter une faille dans le processus de transaction planifié qui leur permet de monétiser les frais de gaz retournés à partir de transactions annulées.
En termes simples, les attaquants ont essentiellement appelé des fonctions d’annulation sur leurs contrats Ethereum Alarm Clock avec des frais de transaction élevés. Alors que le protocole émet un remboursement des frais de gaz pour les transactions annulées, une faille dans le contrat intelligent a remboursé aux pirates une valeur de frais de gaz plus élevée que celle qu’ils avaient payée à l’origine, leur permettant d’empocher la différence.
“Nous avons confirmé un exploit actif qui utilise un énorme prix du gaz pour jouer le contrat TransactionRequestCore contre des récompenses aux dépens du propriétaire d’origine. En fait, l’exploit verse 51 % des bénéfices au mineur, d’où cette énorme récompense MEV-Boost “, a écrit la firme.
Nous avons confirmé un exploit actif qui utilise un énorme prix de l’essence pour jouer le contrat TransactionRequestCore contre des récompenses aux dépens du propriétaire d’origine. En fait, l’exploit rapporte 51% du profit au mineur, d’où cette énorme récompense MEV-Boost. pic.twitter.com/iZahvC83Fp
– PeckShield Inc. (@peckshield) 19 octobre 2022
PeckShield a ajouté à l’époque qu’il avait découvert 24 adresses qui avaient exploité la faille pour collecter les supposées “récompenses”.
La société de sécurité Web3 Supremacy Inc a également fourni une mise à jour quelques heures plus tard, indiquant l’historique des transactions Etherscan montrant que les pirates étaient jusqu’à présent capables de glisser 204 ETH, d’une valeur d’environ 259 800 $ au moment de la rédaction.
“Événement d’attaque intéressant, le contrat TransactionRequestCore a quatre ans, il appartient au projet ethereum-alarm-clock, ce projet a sept ans, les pirates ont en fait trouvé un code aussi ancien à attaquer”, a noté la firme.
2/ La fonction d’annulation calcule les frais de transaction (gas uesd * prix du gaz) à utiliser avec “gas use” supérieur à 85000 et les transfère à l’appelant. pic.twitter.com/aXyad0oDPv
— Suprématie Inc. (@Supremacy_CA) 19 octobre 2022
Dans l’état actuel des choses, il y a eu un manque de mises à jour sur le sujet pour déterminer si le piratage est en cours, si le bogue a été corrigé ou si l’attaque est terminée. Il s’agit d’une histoire en développement et Cointelegraph fournira des mises à jour au fur et à mesure de son déroulement.
Bien qu’octobre soit généralement un mois associé à une action haussière, ce mois-ci a été rempli de hacks jusqu’à présent. Selon un rapport Chainalysis du 13 octobre, 718 millions de dollars avaient déjà été volés lors de piratages en octobre, ce qui en fait le mois le plus important pour les activités de piratage en 2022.
