以太坊闹钟服务被黑26万美元 黑客已经转走69个ETH进FTX

据区块链安全和数据分析公司PeckShield昨(19)日发推表示，以太坊闹钟服务(Ethereum Alarm Clock)的智能合约代码中的一个错误被利用，当前黑客已窃取近260,000美元。

据了解，以太坊闹钟是让用户能够通过预先输入收款方地址、发送金额和交易时间来安排未来交易的服务，但用户仍须预付未来的交易gas费用来完成排程。

利用Gas Fee退款漏洞

据PeckShield调查称，该协议保留为取消的交易提供gas费用退款的功能，攻击者本质上是利用了这点，在他们的以太坊闹钟合约上调用取消函数，并增加了交易费用，导致智能合约不断向黑客支付比原本gas费用金额更高的退款，借此从漏洞中赚取价差。

“我们已经确认了一个漏洞，它利用巨大的Gas价格游戏来玩Transaction Request Core合约，以获得原始持有者的奖励。事实上，该漏洞利用向矿工支付了51%的利润，因此获得了巨额的MEV-Boost奖励。”

漏洞合约存在超过4年

随后，Web3安全公司Supremacy也补充说明此次黑客攻击的完整分析，目前黑客已经利用漏洞反复赚取约204个ETH，当前价值约26万美金。

“有趣的攻击事件，Transaction Request Core合约四年了，它属于ethereum-alarm-clock项目，这个项目七年了，黑客居然找到了这么旧的代码进行攻击。”

截稿前，黑客已经转走69个ETH进FTX交易所中。