Dywedir bod nam yn y cod contract smart ar gyfer gwasanaeth Cloc Larwm Ethereum wedi cael ei ecsbloetio, a dywedir bod bron i $ 260,000 wedi'i dynnu o'r protocol hyd yn hyn.
Mae Cloc Larwm Ethereum yn galluogi defnyddwyr i drefnu trafodion yn y dyfodol trwy rag-benderfynu cyfeiriad y derbynnydd, y swm a anfonwyd ac amser y trafodiad a ddymunir. Rhaid i ddefnyddwyr gael yr Ether gofynnol (ETH) wrth law i gwblhau'r trafodiad ac angen talu'r ffioedd nwy ymlaen llaw.
Yn ôl post Twitter Hydref 19 gan y cwmni diogelwch blockchain a dadansoddeg data PeckShield, llwyddodd hacwyr i fanteisio ar fwlch yn y broses trafodion a drefnwyd, sy'n caniatáu iddynt wneud elw ar ffioedd nwy a ddychwelwyd o drafodion a ganslwyd.
Yn syml, galwodd yr ymosodwyr swyddogaethau canslo ar eu contractau Cloc Larwm Ethereum gyda ffioedd trafodion chwyddedig. Wrth i'r protocol gael ad-daliad ffi nwy am drafodion a ganslwyd, mae nam yn y contract smart wedi bod yn ad-dalu mwy o ffioedd nwy i'r hacwyr nag a dalwyd yn wreiddiol, gan ganiatáu iddynt bocedu'r gwahaniaeth.
“Rydym wedi cadarnhau camfanteisio gweithredol sy'n defnyddio pris nwy enfawr i chwarae rhan yn y contract TransactionRequestCore am wobr ar gost y perchennog gwreiddiol. Mewn gwirionedd, mae'r camfanteisio yn talu 51% o'r elw i'r glöwr, a dyna pam y mae'r wobr MEV-Boost enfawr hon," ysgrifennodd y cwmni.
Rydym wedi cadarnhau camfanteisio gweithredol sy'n defnyddio pris nwy enfawr i gêm y contract TransactionRequestCore am wobr ar gost y perchennog gwreiddiol. Mewn gwirionedd, mae'r camfanteisio yn talu'r 51% o'r elw i'r glöwr, a dyna pam y mae'r wobr MEV-Hwb enfawr hon. https://t.co/7UAI0JFv72 https://t.co/De6QzFN472 pic.twitter.com/iZahvC83Fp
- PeckShield Inc. (@peckshield) Tachwedd 19
Ychwanegodd PeckShield ar y pryd, ei fod wedi gweld 24 o gyfeiriadau a oedd wedi bod yn ecsbloetio’r byg i gasglu’r “gwobrau” tybiedig.
Darparodd cwmni diogelwch Web3 Supremacy Inc ddiweddariad hefyd ychydig oriau yn ddiweddarach, gan dynnu sylw at hanes trafodion Etherscan a ddangosodd fod yr haciwr (wyr) hyd yn hyn yn gallu llithro 204 ETH, gwerth tua $259,800 ar adeg ysgrifennu hwn.
“Digwyddiad ymosodiad diddorol, mae contract TransactionRequestCore yn bedair oed, mae’n perthyn i brosiect cloc larwm ethereum, mae’r prosiect hwn yn saith mlwydd oed, daeth hacwyr o hyd i hen god i ymosod arno,” nododd y cwmni.
2/ Mae'r ffwythiant canslo yn cyfrifo'r Ffi Trafodion (pris nwy uesd*) i'w wario gyda'r “nwy a ddefnyddiwyd” dros 85000 ac yn ei drosglwyddo i'r galwr. pic.twitter.com/aXyad0oDPv
— Goruchafiaeth Inc. (@Supremacy_CA) Tachwedd 19
Fel y mae, bu diffyg diweddariadau ar y pwnc i benderfynu a yw'r darnia'n parhau, a yw'r nam wedi'i glytio neu a yw'r ymosodiad wedi dod i ben. Mae hon yn stori sy'n datblygu a bydd Cointelegraph yn darparu diweddariadau wrth iddi ddatblygu.
Er bod mis Hydref yn gyffredinol yn fis sy'n gysylltiedig â gweithredu bullish, mae'r mis hwn hyd yn hyn wedi bod yn rhemp â haciau. Yn ol adroddiad Chainalysis o Hydref 13, bu eisoes $718 miliwn wedi'i ddwyn o haciau ym mis Hydref, gan ei wneud y mis mwyaf ar gyfer gweithgarwch hacio yn 2022.
Ffynhonnell: https://cointelegraph.com/news/ethereum-alarm-clock-exploit-leads-to-260k-in-stolen-gas-fees-so-far