Ethereum Fork ETHPoW Suffers Bridge Replay Exploit, Token Tanks 37%

ETHPoW, το απόδειξη εργασίας blockchain διχαλωτό από Ethereum που κυκλοφόρησε λίγο μετά το Ethereum μετάβαση στην απόδειξη συμμετοχής (PoS) την περασμένη εβδομάδα, έπεσε θύμα μιας επανάληψης εκμετάλλευσης που είχε ως αποτέλεσμα 200 επιπλέον μάρκες ETHW να αποσπαστούν από τον εισβολέα.

Η εταιρεία ασφαλείας Blockchain BlockSec αποκάλυψε το περιστατικό την Κυριακή, λέγοντας ότι η επίθεση έγινε μέσω της γέφυρας Omni στην αλυσίδα Gnosis.

«Στις 16 Σεπτεμβρίου 2022, εντοπίσαμε ότι ορισμένοι εισβολείς συγκέντρωσαν με επιτυχία πολλά ETHW αναπαράγοντας ξανά το μήνυμα (δηλαδή, τα δεδομένα κλήσης) της αλυσίδας PoS στο EthereumPoW (γνωστή και ως αλυσίδα PoW),» έγραψε η BlockSec σε μια Μεσαία θέση.

Σύμφωνα με τους ερευνητές ασφαλείας, ο εισβολέας μετέφερε πρώτα 200 WETH μέσω της γέφυρας Omni και στη συνέχεια επανέλαβε το ίδιο μήνυμα στην αλυσίδα PoW, λαμβάνοντας επιπλέον 200 ETHW.

«Με αυτόν τον τρόπο, το υπόλοιπο της σύμβασης αλυσίδας που έχει αναπτυχθεί στην αλυσίδα PoW θα μπορούσε να εξαντληθεί», δήλωσε η BlockSec.

Η εταιρεία διευκρίνισε ότι «η βασική αιτία της εκμετάλλευσης είναι ότι η γέφυρα Omni στην αλυσίδα PoW χρησιμοποιεί το παλιό chainId και δεν επαληθεύει σωστά το πραγματικό chainId του μηνύματος cross-chain», προσθέτοντας ότι παρόμοια ζητήματα ενδέχεται να υπάρχουν σε άλλα πρωτόκολλα .

Η τιμή του διακριτικού ETHW κατρακύλησε περίπου 37% στο πίσω μέρος των ειδήσεων, φθάνοντας στο νέο χαμηλό των 4.22 δολαρίων νωρίτερα τη Δευτέρα, σύμφωνα με CoinMarketCap. Αυτή τη στιγμή διαπραγματεύεται σε κάτι περισσότερο από $5.

Οι προγραμματιστές ETHPoW επιβεβαιώνουν την εκμετάλλευση

Οι προγραμματιστές πίσω από το πρωτόκολλο ETHW επιβεβαίωσαν το περιστατικό. Ωστόσο, επέμειναν ότι η επίθεση δεν προήλθε από το blockchain ETHW και επηρέασε μόνο τη γέφυρα Omni, όχι το ίδιο το δίκτυο Ethereum PoW.

"Η ίδια η ETHW έχει επιβάλει το EIP-155 και δεν υπάρχει επίθεση επανάληψης από το ETHPoS και το ETHPoS, την οποία έχουν σχεδιάσει εκ των προτέρων οι μηχανικοί ασφαλείας του ETHW Core", δήλωσε η ομάδα του ETHW σε μια ανάρτηση.

Οι προγραμματιστές είπαν επίσης ότι έχουν επικοινωνήσει με την ομάδα Omni για να τους ειδοποιήσουν για το exploit.

«Έχουμε επικοινωνήσει με τη γέφυρα με κάθε τρόπο και τους ενημερώσαμε για τους κινδύνους», δήλωσαν οι προγραμματιστές blockchain του ETHW, προσθέτοντας ότι «οι γέφυρες πρέπει να επαληθεύουν σωστά το πραγματικό ChainID των μηνυμάτων cross-chain».

Τι είναι το ETHPoW;

Το ETHPoW είναι ένα σκληρό πιρούνι του Ethereum που υποστηρίζεται από μια ομάδα ανθρακωρύχων που δήλωσαν το δικό τους πρόθεση διατήρησης της αλυσίδας PoW μετά τη συγχώνευση—ο όρος που χρησιμοποιείται συνήθως για τη μετάβαση του δικτύου σε PoS.

Η αλυσίδα κυκλοφόρησε την περασμένη εβδομάδα, λίγο μετά τη συγχώνευση, ωστόσο, έφτασε σε μια αρκετά καλή κατάσταση ανώμαλη εκκίνηση καθώς το δίκτυο αντιμετώπισε πολλά τεχνικά ζητήματα, συμπεριλαμβανομένου ενός ζητήματος Chain ID.

Συγκεκριμένα, η πιθανότητα επίθεσης επανάληψης εάν η ETHPoW αποτύχει να αλλάξει το αναγνωριστικό αλυσίδας του δικτύου της από αυτό του mainnet του Ethereum τέθηκε μερικές εβδομάδες πριν από τη συγχώνευση.

Ωστόσο, ο ιδρυτής του ETHPoW Chandler Guo επέμεινε τότε που αυτοί οι φόβοι ήταν υπερβολικοί και ειπώθηκαν Αποκρυπτογράφηση ότι το δίκτυο θα άλλαζε όλα τα αναγνωριστικά αλυσίδας στο blockchain του για να αποτρέψει τέτοιες επιθέσεις.