ETHPoW, die Nachweis der Arbeit Blockchain gegabelt von Ethereum das kurz nach dem von Ethereum live ging Umstellung auf Proof-of-Stake (PoS) wurde letzte Woche Opfer eines Replay-Exploits, der dazu führte, dass der Angreifer 200 zusätzliche ETHW-Token abschöpfte.
Das Blockchain-Sicherheitsunternehmen BlockSec enthüllte den Vorfall am Sonntag und sagte, dass der Angriff über die Omni Bridge auf die Gnosis-Kette erfolgte.
„Am 16. September 2022 haben wir festgestellt, dass einige Angreifer erfolgreich viele ETHW geerntet haben, indem sie die Nachricht (dh die Anrufdaten) der PoS-Kette auf EthereumPoW (auch bekannt als die PoW-Kette) wiedergegeben haben“, schrieb BlockSec in a Medium Post.
Laut den Sicherheitsforschern hat der Angreifer zuerst 200 WETH über die Omni Bridge übertragen und dann dieselbe Nachricht auf der PoW-Kette wiederholt, wodurch er zusätzliche 200 ETHW erhielt.
„Dadurch könnte das Guthaben des Kettenvertrags, der in der PoW-Kette eingesetzt wird, aufgebraucht werden“, sagte BlockSec.
Das Unternehmen erläuterte, dass „die Hauptursache der Ausnutzung darin besteht, dass die Omni-Bridge in der PoW-Kette die alte ChainId verwendet und die tatsächliche ChainId der Cross-Chain-Nachricht nicht korrekt überprüft“, und fügte hinzu, dass ähnliche Probleme in anderen Protokollen bestehen könnten .
Der Preis des ETHW-Tokens stürzte im Zuge der Nachrichten um etwa 37 % ab und erreichte laut Angaben am Montag ein neues Tief von 4.22 $ CoinMarketCap. Es wird derzeit bei knapp über 5 $ gehandelt.
ETHPoW-Entwickler bestätigen Exploit
Die Entwickler hinter dem ETHW-Protokoll bestätigten den Vorfall; Sie bestanden jedoch darauf, dass der Angriff nicht von der ETHW-Blockchain ausging und nur die Omni-Bridge betraf, nicht das Ethereum PoW-Netzwerk selbst.
„ETHW selbst hat EIP-155 durchgesetzt, und es gibt keinen Replay-Angriff von ETHPoS und auf ETHPoS, den die Sicherheitsingenieure von ETHW Core im Voraus geplant haben“, sagte das ETHW-Team in a Blog-Post.
Die Entwickler sagten auch, dass sie sich an das Omni-Team gewandt haben, um sie auf den Exploit aufmerksam zu machen.
„Wir haben die Bridge in jeder Hinsicht kontaktiert und sie über die Risiken informiert“, sagten die Blockchain-Entwickler der ETHW und fügten hinzu, dass „Bridges die tatsächliche ChainID der Cross-Chain-Nachrichten korrekt verifizieren müssen“.
Was ist ETHPoW?
ETHPoW ist ein Fest Gabel von Ethereum unterstützt von einer Gruppe von Bergleuten, die ihre erklärten Absicht, die PoW-Kette zu erhalten nach der Zusammenführung – der häufig verwendete Begriff für die Umstellung des Netzwerks auf PoS.
Die Kette wurde letzte Woche kurz nach der Fusion gestartet, kam jedoch ziemlich ins Stocken holpriger Start da das Netzwerk mit mehreren technischen Problemen konfrontiert war, einschließlich eines Problems mit der Ketten-ID.
Insbesondere wurde einige Wochen vor der Fusion die Möglichkeit eines Replay-Angriffs angesprochen, falls ETHPoW die Ketten-ID seines Netzwerks nicht von der des Ethereum-Mainnets ändern könnte.
Allerdings ETHPoW-Gründer Chandler Guo bestand darauf, damals, dass diese Befürchtungen übertrieben waren, und erzählt Entschlüsseln dass das Netzwerk alle Ketten-IDs in seiner Blockchain ändern würde, um solche Angriffe zu verhindern.
Bleiben Sie über Krypto-News auf dem Laufenden und erhalten Sie tägliche Updates in Ihrem Posteingang.
Quelle: https://decrypt.co/110023/ethereum-fork-ethpow-suffers-bridge-replay-exploit-token-tanks-37
