BlockSec wykrywa exploit powtórki za pomocą tokenów ETHPoW

Według firmy zajmującej się cyberbezpieczeństwem, która zaalarmowała ten problem w niedzielę, w blockchainie Ethereum z potwierdzeniem pracy doszło do ponownego wykorzystania exploita, w którym atakujący otrzymał dodatkowe 200 tokenów ETHW po ponownym odtworzeniu wiadomości z łańcucha dowodów stawki na ETHPoW. 

Eksploatator (0x82fae) najpierw przesłał 200 WETH przez most omni łańcucha Gnosis, a następnie odtworzył tę samą wiadomość w łańcuchu PoW i uzyskał dodatkowe 200 ETHW — firma ochroniarska BlockSec powiedziany na Twitterze. Atak nastąpił, ponieważ most nie zweryfikował poprawnie identyfikatora łańcucha wiadomości międzyłańcuchowej, twierdzi firma. 

Zespół programistów blockchain ETHPoW powiedział, że atak wykorzystywał lukę kontraktową mostu, a nie sam blockchain. 

„Sam ETHW wymuszał EIP-155 i nie ma powtórnego ataku z ETHPoS i ETHPoS, który inżynierowie bezpieczeństwa ETHW Core zaplanowali z wyprzedzeniem”, twórcy ETHW Core napisał w poście Medium.

Zespół programistów powiedział również, że od soboty próbował skontaktować się z Omni Bridge, aby poinformować ich o ryzyku. Omni Bridge nie odpowiedział od razu na prośbę o komentarz. 

„Kontaktowaliśmy się z mostem w każdy możliwy sposób i poinformowaliśmy ich o ryzyku” – napisano. „Mosty muszą poprawnie zweryfikować rzeczywisty identyfikator łańcucha wiadomości międzyłańcuchowych” – powiedzieli.

Widelec ETHPoW na blockchainie Ethereum z dowodem pracy wszedł na żywo w tym tygodniu po The Merge. Token spadł o ponad 35% po wiadomości o exploitie w niedzielę rano, zgodnie z danymi TradingView.

© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.