Po týdnu existence nového blockchainu Ethereum PoW (ETHW) došlo k prvnímu hacknutí jedné z jeho aplikací. Rozhodnutí většiny ekosystému zaměřit se pouze na Ethereum (ETH) by pak mohlo vést k pomalému umírání Ethereum PoW aplikací.
První hack se objevuje v aplikaci Ethereum PoW
Po sloučení Etherea (ETH) zůstal perzistentní řetězec nazvaný Ethereum PoW (ETHW), který sdružuje několik těžařů, kteří chtějí udržet konsensus proof-of-work při životě. Vzhledem k tomu, že většina ekosystému důvěřuje nové aktualizaci Etherea, je životaschopnost verze PoW přinejlepším nejistá.
Po několika dnech existence se začaly objevovat první problémy. Ačkoli se zdá, že samotný blockchain funguje dobře, neplatí to pro všechny aplikace, zejména pro OmniBridge. Tato platforma umožňuje komunikaci s řetězcem Gnosis a chyba v chytré smlouvě mostu umožnila útočníkovi provádět akce jak na blockchainu Ethereum, tak na verzi PoW.
Je to proto, že OmniBridge používá v řetězci proof-of-work ID řetězce Ethereum místo ID řetězce Ethereum PoW. Zjednodušeně řečeno lze na ID řetězce nahlížet jako na identifikační číslo blockchainu. Tato závada umožnila útočníkovi vyhodit ETHW na chytré smlouvě Ethereum PoW OmniBridge.
Zneužití chyby
Tento hack byl odhalen týmy BlockSec:
1/ Upozornění | BlockSec zjistil, že zneuživatelé přehrávají zprávu (calldata) řetězce PoS na @EthereumPow Hlavní příčinou zneužití je to, že most správně neověřuje skutečné chainid (které si udržuje sám) zprávy mezi řetězci.
– BlockSec (@BlockSecTeam) September 18, 2022
Útočník nejprve vložil ETH do chytré smlouvy OmniBridge na blockchainu Etherea. Poté je stáhl. Souběžně s tím umožnil problém s ID řetězce na OmniBridge Ethereum PoW útočníkovi použít příkaz, aby v této síti získal ekvivalentní množství ETHW.
Za normálních okolností by tomuto typu útoku zabránila série aktualizací Etherea, známá jako Ethereum Improvement Proposal (EIP). Kód OmniBridge však údajně používá starou verzi jazyka Solidity. Hard fork, který vedl ke zrodu Etherea PoW, by umožnil tyto chyby odhalit.
Kořist z této operace není sama o sobě významná, ale analýza útočníkových transakcí ukazuje, že odeslal 741 ETHW zpět na výměnnou platformu MEXC. V době incidentu tak činila částka maximálně 8-10 000 dolarů.
Je však pravděpodobné, že podobné problémy se vyskytují i v jiných aplikacích a umožnily by dalším útočníkům získat ETHW a prodávat je na centralizovaných platformách.
Interakce s Ethereum PoW
Pro ty, kteří měli v době sloučení ETH v síti Ethereum, získali ekvivalentní množství ETHW na Ethereum PoW. Týmy nové sítě uvedly informace, které je třeba vyplnit pro konfiguraci peněženky, aby ji bylo možné používat:
ETHW Informace o hlavní síti
Název sítě: ETHW-mainnet
Nová adresa URL RPC: https://t.co/MQ04pnPQyW
ID řetězce: 10001
Symbol měny: ETHW
Adresa URL průzkumníka bloků (nepovinná): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Oficiální ETHPoW (@EthereumPoW) 15. září 2022
Podle CoinGecko již následující platformy uvedly ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Rádi bychom vám však připomněli, abyste byli při této příležitosti ostražití vůči pokusům o podvod
