След една седмица съществуване на новата блокчейн платформа Ethereum PoW (ETHW) едно от нейните приложения претърпя първия си хак. Изборът на по-голямата част от екосистемата да се съсредоточи само върху Ethereum (ETH) може да доведе до бавна смърт на Ethereum PoW приложенията.
Първата хакерска атака се случва в приложение Ethereum PoW
След сливането на Етериум (ETH) остана устойчива верига, наречена Ethereum PoW (ETHW), която обединява малцината миньори, желаещи да запазят консенсуса за доказателство за извършена работа. Тъй като по-голямата част от екосистемата се доверява на новата актуализация на Ethereum, жизнеспособността на версията PoW в най-добрия случай е несигурна.
След няколко дни съществуване започнаха да се появяват първите проблеми. Макар че самата блокчейн система изглежда работи добре, това не важи за всички приложения, особено за OmniBridge. Тази платформа позволява комуникация с веригата Gnosis и грешка в интелигентния договор на моста е позволила на нападателя да изпълнява действия както в блокчейна на Ethereum, така и във версията PoW.
Това се дължи на факта, че OmniBridge използва идентификатора на веригата Ethereum Chain ID вместо идентификатора на веригата Ethereum PoW Chain ID във веригата за доказване на работата. На прост език идентификаторът на веригата може да се разглежда като идентификационен номер на блокчейна. Тази неизправност позволи на нападателя да изхвърли ETHWs на интелигентния договор Ethereum PoW OmniBridge.
Експлоатацията на дефекта
Тази хакерска атака беше разкрита от екипите на BlockSec:
1/ Сигнал | BlockSec откри, че експлоатиращите възпроизвеждат съобщението (calldata) от веригата PoS на @EthereumPow Основната причина за експлоатирането е, че мостът не проверява правилно действителния chainid (който се поддържа от самия него) на съобщението между веригите.
– BlockSec (@BlockSecTeam) September 18, 2022
Първоначално нападателят депозира ETH в интелигентния договор OmniBridge в блокчейна на Етериум. След това той ги оттегли. Успоредно с това проблемът с идентификатора на веригата в OmniBridge на Ethereum PoW позволи на нападателя да използва команда, за да получи еквивалентно количество ETHW в тази мрежа.
Обикновено поредица от актуализации на Ethereum, известни като Ethereum Improvement Proposal (EIP), биха предотвратили този вид атака. Но се твърди, че кодът на OmniBridge използва стара версия на езика Solidity. Твърдата вилица, която доведе до раждането на Ethereum PoW, щеше да позволи тези недостатъци да бъдат разкрити.
Самата плячка от операцията не е значителна, но анализът на трансакциите на нападателя показва, че той е изпратил 741 ETHW обратно към платформата за обмен MEXC. По този начин сумата към момента на инцидента възлиза най-много на 8-10 000 долара.
Вероятно е обаче подобни проблеми да съществуват и в други приложения и да позволяват на други нападатели да възстановяват ETHW и да ги продават на централизирани платформи.
Взаимодействие с Ethereum PoW
За тези, които са имали ETH в мрежата на Ethereum по време на сливането, те са събрали еквивалентно количество ETHW в Ethereum PoW. Екипите на новата мрежа са посочили информацията, която трябва да се попълни, за да се конфигурира портфейлът и да се използва:
ETHW Информация за основната мрежа
Име на мрежата: ETHW-mainnet
Нов RPC URL: https://t.co/MQ04pnPQyW
ID на веригата: 10001
Символ на валутата: ETHW
URL адрес на Block Explorer(по избор): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Официален ETHPoW (@EthereumPoW) September 15, 2022
Според CoinGecko следните платформи вече са регистрирали ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Въпреки това бихме искали да ви напомним да бъдете бдителни за опити за измама по този повод
