19 октября, команда PeckShield заявила, что обнаружила уязвимость в смарт-контракте TransactionRequestCore службы Ethereum Alarm Clock.
Она позволяет существенно повысить комиссию за газ при возврате отмененных транзакций. Таким образом хакеры уже похитили около $260 тысяч.
Ethereum Alarm Clock – это сервис, позволяющий запланировать будущие транзакции. Пользователь может заранее задать адрес получателя, сумму и время сделки. На балансе должно быть достаточно ETH для проведения транзакции.
Хакеры нашли лазейку в этом механизме. Они заранее планируют транзакции, повышая плату за газ при их возврате. Поскольку сервис за свой счет погашает комиссию, на кошелек отправителя приходит больше ETH, чем было отправлено.
Эксперты PeckShield зафиксировали 24 адреса, которые воспользовались данной уязвимостью. Через несколько часов информацию агентства подтвердил отдел безопасности Web3 Supremacy Inc.
Хакеры похитили таким образом 204 ETH. Это чуть более $259 тысяч. Данному смарт-контракту четыре года, самому сервису исполнилось семь лет. При этом уязвимость обнаружена только сейчас.