针对 Hacktober 的以太坊闹钟

以太坊闹钟服务已成为最新 Hacktober 漏洞利用的受害者，造成价值 260,000 美元的损失。 

PeckShield 报告闹钟攻击

当黑客利用以太坊闹钟服务的智能合约代码中的漏洞时，价值约 260,000 美元的 ETH 被盗走。 该消息首先由区块链安全和数据分析公司 PeckShield 引起公众关注，该公司透露，黑客已经设法操纵调度代码中的漏洞，使他们能够从取消交易的返还汽油费中获利。 目前，该协议可用于通过输入接收方地址、要转移的资金数量和交易时间来安排未来的交易。 用户必须保留必要数量的 Ether 以预先支付交易的 Gas 费。 在取消交易的情况下，扣除的汽油费将退还给原始钱包。

漏洞利用机制解释

漏洞利用机制可以概括为攻击者在他们的以太坊闹钟合约上调用取消函数，交易费用膨胀。 智能合约中的一个错误是向肇事者退还比他们最初支付的更高价值的汽油费。 PeckShield 报告称，这笔臃肿的退款中有 51% 支付给了矿工，从而增加了他们的矿工可提取价值 (MEV)。 

该公司在推特上说， 

“我们已经确认了一个积极的利用，它利用巨大的 gas 价格来游戏 TransactionRequestCore 合约，以牺牲原始所有者为代价。 事实上，漏洞利用将 51% 的利润支付给了矿工，因此获得了巨额的 MEV-Boost 奖励。”

根据另一家安全公司 Supremacy Inc. 的说法，该漏洞已导致大约 204 ETH 的损失。 

Hacktober 继续

2022 年的 DeFi 黑客攻击数量已经创纪录。 闹钟攻击是一系列利用智能合约代码漏洞的协议黑客攻击中的最新一次，尤其是在 XNUMX 月份，也被称为 Hacktober。 最近， 穆拉市场 通过购买价值 9 美元的代币并将其作为抵押品借入 CELO 代币来操纵借贷协议的本地 MOO 代币的价格，从而被黑客入侵了 45,000 万美元。 值得庆幸的是，黑客返还了大部分资金，同时保留了 500,000 万美元作为漏洞赏金。 今年 XNUMX 月被利用的其他协议包括 比特币钱包 和 DeFi 协议 索夫林，两者都损失了大约一百万美元。 不过，最值得一提的是 芒果市场 hack，这导致在 Hacktober 的第二周，价值 117 美元的资金从借贷平台上被抽走。 

免责声明：本文仅供参考。 不提供或不打算将其用作法律，税务，投资，财务或其他建议。