У пользователей сервиса Ethereum Alarm Clock, который позволяет выполнять транзакции в заранее установленное время, похитили свыше $ 260 000.
Специалисты компании по кибербезопасности PeckShield выяснили, что хакер воспользовался уязвимостью в процессе составления графика отправки денежных переводов, чтобы получить прибыль.
Он повысил размер комиссии за обработку операций и с помощью бага в смарт-контракте перенаправил в свои криптохранилища 49% от суммы компенсации за отмену транзакций. Оставшийся 51% монет перечисляли на счёт валидаторов.
Эксперты идентифицировали 24 адреса, в которые переводили незаконно полученный доход. Злоумышленнику уже удалось завладеть 204 Ethereum (ETH) стоимостью $ 262 752 по текущему курсу.
Любопытный факт заключается в том, что киберпреступник обнаружил баг в смарт-контракте TransactionRequestCore, который был разработан сотрудниками Ethereum Alarm Clock четыре года назад. Благодаря этому ему удалось внести изменения в функцию отмены операции, чтобы удерживать высокую комиссию и отправлять часть монет на свои кошельки.
Пока неизвестно, исправили ли ошибку работники Ethereum Alarm Clock, поэтому сейчас стоит воздержаться от использования этого сервиса.