乙太坊鬧鐘服務被駭，駭客利用合約漏洞竊取26 萬鎂

10 月 19 日，乙太坊鬧鐘服務被爆遭駭，駭客透過合約漏洞竊取204 個 ETH（約26 萬美元）。此外，安全公司在分析此次駭客事件時發現，該漏洞已經存在 4 年的時間。目前，駭客已將 69 個 ETH轉移。

乙太坊鬧鐘服務被駭

19 日，區塊鏈安全和數據分析公司 PeckShield發推表示，駭客利用乙太坊鬧鐘服務（Ethereum Alarm Clock）中的合約漏洞竊取了近 260,000 美元。

據悉，乙太坊鬧鐘是讓用戶能夠通過預先輸入收款方地址、發送金額和交易時間來安排未來交易的服務，但用戶仍須預付未來的交易 gas 費用來完成排程。

而由於該協議保留為取消的交易提供 gas 費用退款的功能，使得攻擊者利用了這一點，在他們的乙太坊鬧鐘合約上調用取消函數，並增加了交易費用，導致智能合約不斷向駭客支付比原本 gas 費用金額更高的退款，藉此從漏洞中賺取價差。

目前，駭客已經將 69 個 ETH 轉移進 FTX 交易所中。

漏洞已存在 4 年的時間

此外，Web3 安全公司 Supremacy 在分析此次駭客攻擊時發現，該漏洞已經存在了超過 4 年的時間。

「TransactionRequestCore 合約四年了，它屬於 ethereum-alarm-clock 項目，這個項目七年了，駭客居然找到了這麼舊的程式碼進行攻擊。」