Форк Ethereum ETHPoW страждає від експлойту Bridge Replay, Token Tanks 37%

ETHPoW, доказ роботи блокчейн роздвоєний з Ethereum який почав працювати незабаром після Ethereum перехід на proof-of-stake (PoS) минулого тижня став жертвою експлойту повторного відтворення, в результаті якого зловмисник виманив додаткові 200 токенів ETHW.

Компанія безпеки блокчейну BlockSec розкрила інцидент у неділю, заявивши, що атака сталася через Omni Bridge у ланцюзі Gnosis.

«16 вересня 2022 року ми виявили, що деякі зловмисники успішно зібрали багато ETHW, відтворивши повідомлення (тобто дані виклику) ланцюга PoS на EthereumPoW (він же ланцюг PoW)», — написав BlockSec у Середня пост.

За словами дослідників безпеки, зловмисник спочатку передав 200 WETH через Omni Bridge, а потім відтворив те саме повідомлення в ланцюжку PoW, отримавши додаткові 200 ETHW.

«Таким чином баланс ланцюжкового контракту, розгорнутого в ланцюжку PoW, може бути виснажений», — сказав BlockSec.

Фірма детально розповіла, що «основна причина використання полягає в тому, що міст Omni у ланцюжку PoW використовує старий chainId і не правильно перевіряє фактичний chainId міжланцюжкового повідомлення», додавши, що подібні проблеми можуть існувати в інших протоколах. .

Ціна токена ETHW різко впала приблизно на 37% через цю новину, досягнувши нового мінімуму в 4.22 долара раніше в понеділок, згідно з даними. CoinMarketCap. Зараз він торгується трохи більше ніж 5 доларів.

Розробники ETHPoW підтверджують експлойт

Розробники протоколу ETHW підтвердили інцидент; однак вони наполягали на тому, що атака не виникла з блокчейну ETHW і вплинула лише на міст Omni, а не на саму мережу Ethereum PoW.

«Сам ETHW застосував EIP-155, і немає повторної атаки від ETHPoS і до ETHPoS, яку інженери безпеки ETHW Core запланували заздалегідь», — заявила команда ETHW у блог.

Розробники також повідомили, що звернулися до команди Omni, щоб попередити їх про експлойт.

«Ми всіляко зв’язувалися з мостом і повідомили їм про ризики», — заявили розробники блокчейну ETHW, додавши, що «мости повинні правильно перевірити фактичний ChainID повідомлень між ланцюжками».

Що таке ETHPoW?

ETHPoW - це a жорстка вилка Ethereum за підтримки групи майнерів, які заявили про свої намір зберегти ланцюг PoW після злиття — загальновживаний термін для перемикання мережі на PoS.

Мережа була запущена минулого тижня невдовзі після злиття, однак вона вийшла досить швидко нерівний початок оскільки мережа зіткнулася з кількома технічними проблемами, включаючи проблему ідентифікатора ланцюга.

Примітно, що ймовірність повторної атаки, якщо ETHPoW не змінить ідентифікатор ланцюга своєї мережі на ідентифікатор основної мережі Ethereum, була піднята за кілька тижнів до злиття.

Однак засновник ETHPoW Чандлер Го наполягав тоді, що ці страхи були перебільшеними, і сказав Розшифрувати що мережа змінить усі ідентифікатори ланцюгів у своєму блокчейні, щоб запобігти таким атакам.