區塊鏈 安全 PeckShield 公司公佈了一項新產品的詳細信息 手續費 TransactionRequestCore 智能合約的退款漏洞 以太幣 鬧鐘項目。
截至發稿時,已有近 24 名黑客 看著搶劫 交易所有者通過調用交易取消函數。
智能合約退款耗盡
與原始交易所有者要求退款時收到的相比,發送給調用者的交易費用非常高。
如上所示,cancel 函數的目的是計算所有者的 gas 成本,並在該金額上加上一個常數 85,000 以退還給他們。
因此,黑客無需使用超過 70,355 的 gas 即可獲得高於原始交易費用的退款。 之後,他們可以將差價收入囊中。
因此,一位 Twitter 用戶 pyggie9 在推特上寫道:
根據 啄盾,51% 膨脹的退款作為利潤支付給礦工, 增加他們的礦工可提取價值 (MEV). 到目前為止,受益人之一是使用流動質押池 Lido Finance 的以太坊驗證者。 Etherscan 數據顯示,據報導,驗證者已 收到 來自合約 158,000xbb121d0b1be6a3b1396ccb4d5b8bb061b302250fd 在區塊 2 的 73 美元(15,782,459 ETH)。
據安全公司 Supremacy Inc. 稱,到目前為止,黑客已經竊取了 204 個 ETH。
礦工可提取價值是指礦工以區塊為單位安排交易以實現利潤最大化。 一種公認的改進方法 MEV 回報是通過提議者/塊構建者分離。 以太坊虛擬機中的提議者可以通過將區塊空間發送給一群可靠的區塊構建者來賺取一筆可觀的收入。
鬧鐘操作
以太坊鬧鐘 項目包含計劃在未來日期發生的以太坊交易。 交易可以由人或智能聯繫人安排。 此外,EAC 將使時間節點能夠在特定時間範圍內調用事務。
這個最新漏洞利用涉及的 TransactionRequestCore 智能合約已有四年曆史。
根據最近的一項 report 通過研究公司 Token Terminal, 智能合約漏洞 不容易修復。
此 hack 仍然有效,很快就會添加更新。
對於 Be[In]Crypto 的最新消息 比特幣 (BTC)分析, 點擊這裡.
免責聲明
我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。
資料來源:https://beincrypto.com/alarm-clock-smart-contract-exploited-on-ethereum-developing-story/