誕生から1週間が経過した新しいブロックチェーンEthereum PoW(ETHW)は、そのアプリケーションの1つが最初のハッキングに遭った。エコシステムの大半がイーサリアム(ETH)のみに注力する選択をした場合、イーサリアムのPoWアプリケーションはゆっくりと死んでいくことになりかねません。
Ethereum PoWアプリケーションで最初のハッキングが発生
イーサリアムマージ(ETH)の後、イーサリアムPoW(ETHW)という持続的チェーンが残り、プルーフ・オブ・ワークのコンセンサスを維持したいと願う少数のマイナーが集まっています。エコシステムの大半が新しいイーサリアムのアップデートを信頼しているため、PoW版の実行可能性はせいぜい不確かなものです。
数日経過したところで、最初の問題が出始めています。ブロックチェーン自体は本来の機能を発揮しているように見えますが、OmniBridgeを筆頭に、すべてのアプリケーションでそうなっているわけではありません。このプラットフォームはGnosis Chainとの通信を可能にし、ブリッジのスマートコントラクトのエラーにより、攻撃者はEthereumブロックチェーンとPoWバージョンの両方でアクションを実行することができました。
これは、OmniBridgeがプルーフ・オブ・ワークのチェーン上でEthereum PoW Chain IDではなく、Ethereum Chain IDを使用しているためと思われます。チェーンIDは、簡単に言えば、ブロックチェーンのID番号と見なすことができる。この誤動作により、攻撃者はEthereum PoW OmniBridgeスマートコントラクト上のETHWをダンプすることができました。
欠陥の悪用
」。
このハッキングはBlockSecチームによって明るみに出されました:
。
1/アラート|BlockSecは、エクスプロイトが@EthereumPow上のPoSチェーンのメッセージ(calldata)を再生していることを検出しました。悪用の根本原因は、ブリッジがクロスチェーンメッセージの実際のchainid(自身が保持している)を正しく検証していないことです。
– BlockSec (@BlockSecTeam) September 18, 2022
。
攻撃者は当初、Ethereumブロックチェーン上のOmniBridgeスマートコントラクトにETHを預け入れました。そして、それを撤回した。これと並行して、Ethereum PoWのOmniBridgeにおけるChain IDの問題で、攻撃者がコマンドを使用し、このネットワーク上で同等のETHWを受け取ることができるようになったのです。
通常であれば、Ethereum Improvement Proposal(EIP)と呼ばれるイーサリアムの一連のアップデートによって、この種の攻撃は防がれるはずだった。しかし、OmniBridgeのコードには、古いバージョンのSolidity言語が使われているという。イーサリアムPoWの誕生につながったハードフォークによって、これらの欠陥が明らかにされることになったのだろう。
この作戦による戦利品自体は大したものではありませんが、攻撃者の取引を分析したところ、741ETHWをMEXCの取引所プラットフォームに送り返したことがわかりました。このため、事件当時の金額はせいぜい8〜10,000ドル程度となる。
しかし、同様の問題は他のアプリケーションにも存在し、他の攻撃者がETHWを回収し、中央集権的なプラットフォームで販売することを可能にすると思われます
。
イーサリアムPoWとの連動
Merge時にETHをEthereumネットワーク上に持っていた人は、Ethereum PoW上で同量のETHWを収集しました。新しいネットワークのチームは、それを使用するために、そのウォレットを設定するために記入する情報を示している:
。
ETHWメインネット情報
ネットワーク名:ETHW-mainnet
新しいRPC URL: https://t.co/MQ04pnPQyW
チェーンID:10001
通貨記号:ETHW
ブロックエクスプローラーURL(任意):https://t.co/J3JllmQA8I– EthereumPoW(ETHW)公式 ETHPoW(@EthereumPoW)September 15, 2022
。
CoinGeckoによると、以下のプラットフォームが既にETHWを上場しています:
。
- OKX ;
- デジフィネックス。
# - ftx ;
- Bitfinex(ビットフィネックス) ;
- MEXCグローバル。
。
ただし、この機会に詐欺にご注意ください
。