O ETHPoW, a blockchain proof-of-work (PoW) bifurcada do Ethereum, lançada logo após a transição da principal altcoin para o sistema de proof-of-stake (PoS) na semana passada, foi vítima de um tipo de ataque cibernético chamado exploração de repetição, que resultou em mais 200 tokens ETHW sendo desviados pelo hacker.
A empresa de segurança Blockchain BlockSec revelou o incidente no domingo (18), dizendo que o ataque aconteceu através da Omni Bridge na chain Gnosis.
“Detectamos que alguns invasores coletaram com sucesso muitos ETHW ao reproduzir a mensagem (ou seja, a calldata) da chain PoS no EthereumPoW (chain PoW)”, escreveu a BlockSec em um post no Medium.
The short analysis of the attackhttps://t.co/87OVRqaYb2 https://t.co/vhRJyZVc72
— BlockSec (@BlockSecTeam) September 18, 2022
De acordo com os pesquisadores de segurança, o invasor primeiro transferiu 200 WETH pela Omni Bridge e depois repetiu a mesma mensagem na cadeia PoW, obtendo 200 ETHW extras.
“Ao fazer isso, o saldo do contrato inteligente implantado na cadeia PoW pode ser drenado”, disse BlockSec.
A empresa detalhou que “a principal causa da exploração é que a ponte Omni na cadeia PoW usa o chain ID antigo e não verifica corretamente o chain ID real da mensagem cross-chain”, acrescentando que problemas semelhantes podem existir em outros protocolos .
O preço do token nativo ETHW despencou cerca de 37% com as notícias, atingindo uma nova baixa de US$ 4,22 nesta segunda-feira (19), de acordo com o CoinMarketCap. Atualmente, é negociado a pouco mais de US $ 5.
Desenvolvedores do ETHPoW confirmam ataque
Os desenvolvedores por trás do protocolo ETHW confirmaram o incidente; no entanto, eles insistiram que o ataque não se originou da blockchain ETHW e afetou apenas a ponte Omni, não a própria rede Ethereum PoW.
Os desenvolvedores também disseram que entraram em contato com a equipe Omni para alertá-los sobre a exploração.
“Entramos em contato com a ponte de todas as formas e os informamos sobre os riscos”, disseram os desenvolvedores do blockchain ETHW, acrescentando que “as pontes precisam verificar corretamente o Chain ID real das mensagens cross-chain”.
Had tried every way to contact Omni Bridge yesterday.
— EthereumPoW (ETHW) Official #ETHW #ETHPoW (@EthereumPoW) September 18, 2022
Bridges need to correctly verify the actual ChainID of the cross-chain messages.
Again this is not a transaction replay on the chain level, it is a calldata replay due to the flaw of the specific contract. https://t.co/bHbYR4b2AW pic.twitter.com/NZDn61cslJ
O que é ETHPoW?
O ETHPoW é um hard fork do Ethereum lançado por um grupo de mineradores que declararam sua intenção de preservar a cadeia PoW após a Fusão – o termo comumente usado para definir a mudança da rede Ethereum para PoS.
A cadeia foi lançada na semana passada logo após a Fusão; no entanto, ela teve um início bastante acidentado, pois a rede enfrentou vários problemas técnicos, incluindo um problema de Chain ID .
Notavelmente, a possibilidade de um ataque de repetição se o ETHPoW não conseguir alterar o Chain ID de sua rede da rede principal Ethereum foi levantada algumas semanas antes da fusão.
No entanto, o fundador da ETHPoW, Chandler Guo, insistiu na época que esses medos eram exagerados e disse ao Decrypt que a rede mudaria todos os Chain IDs em sua blockchain para evitar tais ataques.
*Traduzido com autorização do Decrypt.co.
O MB oferece taxas regressivas de negociação e estratégia de investimento de acordo com o seu perfil. Junte-se à maior Exchange da América Latina e negocie mais de 200 ativos digitais, como tokens, renda fixa digital e criptomoedas. Abra a sua conta gratuita!