Блокчейн Ethereum Proof-of-Work постраждав від повторного експлойту

За даними фірми з кібербезпеки BlockSec, блокчейн Ethereum Proof-of-Work (PoW) постраждав від повторного експлойту. В результаті зловмисник отримав додаткові 200 токенів ETHW після повторного відтворення повідомлення з ланцюга proof-of-stake на ETHPoW. «Експлуататор (0×82fae) спочатку передав 200 WETH через OmniBridge ланцюжка Gnosis, а потім відтворив те саме повідомлення в ланцюжку PoW і отримав додаткові 200 ETHW», — повідомила компанія з безпеки BlockSec у Twitter. За словами спеціалістів, атака сталася через те, що міст неправильно перевірив ідентифікатор міжланцюгового повідомлення.

1/ Alert | BlockSec detected that exploiters are replaying the message (calldata) of the PoS chain on @EthereumPow. The root cause of the exploitation is that the bridge doesn’t correctly verify the actual chainid (which is maintained by itself) of the cross-chain message.

— BlockSec (@BlockSecTeam) September 18, 2022

Офіційний акаунт ETH PoW у Twitter визнав атаку. Команда розробників блокчейну ETHPoW повідомила, що з суботи намагалася зв’язатися з OmniBridge, щоб повідомити їх про ризики. Щоправда, там відреагували не відразу.

Had tried every way to contact Omni Bridge yesterday.

Bridges need to correctly verify the actual ChainID of the cross-chain messages.

Again this is not a transaction replay on the chain level, it is a calldata replay due to the flaw of the specific contract. https://t.co/bHbYR4b2AW pic.twitter.com/NZDn61cslJ

— EthereumPoW (ETHW) Official #ETHW #ETHPoW (@EthereumPoW) September 18, 2022

Форк ETHPoW на блокчейні Ethereum запрацював цього тижня після The Merge. За даними TradingView, після новин про експлойт у неділю вранці токен ETHW впав більш ніж на 35%.