全面、 保安 PeckShield 公司公布了一项新产品的详细信息 手续费 TransactionRequestCore 智能合约的退款漏洞 以太币 闹钟项目。
截至发稿时,已有近 24 名黑客 看着抢劫 交易所有者通过调用交易取消函数。
智能合约退款耗尽
与原始交易所有者要求退款时收到的相比,发送给调用者的交易费用非常高。
如上所示,cancel 函数的目的是计算所有者的 gas 成本,并在该金额上加上一个常数 85,000 以退还给他们。
因此,黑客无需使用超过 70,355 的 gas 即可获得高于原始交易费用的退款。 之后,他们可以将差价收入囊中。
因此,一位 Twitter 用户 pyggie9 在推特上写道:
根据 啄盾,51% 膨胀的退款作为利润支付给矿工, 增加他们的矿工可提取价值 (MEV). 到目前为止,受益人之一是使用流动质押池 Lido Finance 的以太坊验证者。 Etherscan 数据显示,据报道,验证者已 收到 来自合约 158,000xbb121d0b1be6a3b1396ccb4d5b8bb061b302250fd 在区块 2 的 73 美元(15,782,459 ETH)。
据安全公司 Supremacy Inc. 称,到目前为止,黑客已经窃取了 204 个 ETH。
矿工可提取价值是指矿工以区块为单位安排交易以实现利润最大化。 一种公认的改进方法 扫描电镜 回报是通过提议者/块构建者分离。 以太坊虚拟机中的提议者可以通过将区块空间发送给一群可靠的区块构建者来赚取一笔可观的收入。
闹钟操作
以太坊闹钟 项目包含计划在未来日期发生的以太坊交易。 交易可以由人或智能联系人安排。 此外,EAC 将使时间节点能够在特定时间范围内调用事务。
这个最新漏洞利用涉及的 TransactionRequestCore 智能合约已有四年历史。
据最近的一项 报告 通过研究公司 Token Terminal, 智能合约漏洞 不容易修复。
此 hack 仍然有效,很快就会添加更新。
对于 Be[In]Crypto 的最新消息 比特币 (BTC)分析, 点击此处
免责声明
我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。
资料来源:https://beincrypto.com/alarm-clock-smart-contract-exploited-on-ethereum-developing-story/