• Хакеры использовали ошибку в смарт-контракте Ethereum Alarm Clock для кражи как минимум 204 ETH ($260 000). 
  • Ethereum Alarm Clock — это сервис для установки отложенных транзакций. 
  • Ошибка была обнаружена при отмене заранее установленной отложенной транзакции.

Ошибка в коде смарт-контракта Ethereum Alarm Clock была использована хакерами для кражи как минимум 204 ETH ($260 000). 

Ethereum Alarm Clock позволяет устанавливать отложенные транзакции, заранее указав адрес получателя, сумму и время исполнения. Для установки отложенной транзакции нужно иметь необходимое количество ETH на адресе, а также заранее оплатить стоимость газа. 

По данным аналитической компании PeckShield, хакерам удалось найти лазейку в планировании транзакций, благодаря которой они получают прибыль от возврата сборов за газ при отмене запланированных транзакций. Злоумышленники вызывают функцию отмены транзакций с завышенной комиссией в контрактах Ethereum Alarm Clock. Протокол возвращает комиссию за газ отмененных транзакций, а обнаруженная ошибка в смарт-контракте возмещает хакерам большую сумму сборов за газ, чем они изначально заплатили. 

PeckShield обнаружили как минимум 24 адреса, которые использовали ошибку для получения прибыли. 

«Интересно, что контракту TransactionRequestCore, который принадлежит проекту Ethereum Alarm Clock, четыре года. А самому проекту семь лет. Хакеры нашли уязвимость в таком старом коде», — отметили аналитики другой компании по безопасности Supremacy Inc, которая и подсчитала сумму убытка в размере 204 ETH.