Tras una semana de existencia, la nueva blockchain Ethereum PoW (ETHW) ha visto como una de sus aplicaciones ha sufrido su primer hackeo. La elección de la mayoría del ecosistema de centrarse sólo en Ethereum (ETH) podría entonces llevar a las aplicaciones PoW de Ethereum a una muerte lenta.
El primer hackeo se produce en una aplicación PoW de Ethereum
Después de la fusión de Ethereum (ETH), ha quedado una cadena persistente llamada Ethereum PoW (ETHW), que reúne a los pocos mineros que desean mantener vivo el consenso de prueba de trabajo. Con la mayoría del ecosistema confiando en la nueva actualización de Ethereum, la viabilidad de la versión PoW es incierta en el mejor de los casos.
Tras unos días de existencia, han empezado a aparecer los primeros problemas. Aunque la cadena de bloques en sí parece funcionar como debería, no es el caso de todas las aplicaciones, especialmente de OmniBridge. Esta plataforma permite la comunicación con la cadena Gnosis y un error en el contrato inteligente del puente permitió al atacante ejecutar acciones tanto en la blockchain de Ethereum como en la versión PoW.
Esto se debe a que OmniBridge utiliza el ID de la cadena de Ethereum en lugar del ID de la cadena PoW de Ethereum en la cadena de prueba de trabajo. En términos sencillos, un ID de cadena puede verse como el número de identidad de una cadena de bloques. Este fallo permitió al atacante volcar los ETHW en el contrato inteligente PoW OmniBridge de Ethereum.
La explotación del defecto
Este hack fue sacado a la luz por los equipos de BlockSec:
1/ Alerta | BlockSec detectó que los explotadores están reproduciendo el mensaje (calldata) de la cadena PoS en @EthereumPow La causa raíz de la explotación es que el puente no verifica correctamente el chainid real (que se mantiene por sí mismo) del mensaje de cadena cruzada.
– BlockSec (@BlockSecTeam) September 18, 2022
El atacante depositó inicialmente ETH en el contrato inteligente OmniBridge en la blockchain de Ethereum. Luego los retiró. Paralelamente, el problema de Chain ID en OmniBridge de Ethereum PoW permitió al atacante utilizar un comando, para recibir una cantidad equivalente de ETHW en esta red.
Normalmente, una serie de actualizaciones de Ethereum, conocidas como la Propuesta de Mejora de Ethereum (EIP), habrían evitado este tipo de ataques. Pero se dice que el código de OmniBridge utiliza una versión antigua del lenguaje Solidity. El hard fork que dio lugar al nacimiento de Ethereum PoW habría permitido revelar estos fallos.
El botín de la operación no es significativo en sí mismo, pero el análisis de las transacciones del atacante muestra que envió 741 ETHW de vuelta a la plataforma de intercambio MEXC. Esto hace que la cantidad en el momento del incidente tenga un valor de 8-10.000 dólares como máximo.
Sin embargo, es probable que existan problemas similares en otras aplicaciones y que permitan a otros atacantes recuperar ETHW y venderlos en plataformas centralizadas.
Interacción con Ethereum PoW
Para aquellos que tenían ETH en la red Ethereum en el momento de la Fusión, recogieron una cantidad equivalente de ETHW en Ethereum PoW. Los equipos de la nueva red han indicado la información que hay que rellenar para configurar su monedero, para utilizarlo:
ETHW Información de la red principal
Nombre de la red: ETHW-mainnet
Nueva URL RPC: https://t.co/MQ04pnPQyW
Cadena ID: 10001
Símbolo de la moneda: ETHW
URL del explorador de bloques (opcional): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Oficial ETHPoW (@EthereumPoW) 15 de septiembre de 2022
Según CoinGecko, las siguientes plataformas ya han listado ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Sin embargo, le recordamos que debe estar atento a los intentos de estafa en esta ocasión
