Dopo una settimana di vita, la nuova blockchain Ethereum PoW (ETHW) ha visto una delle sue applicazioni subire il primo hack. La scelta della maggior parte dell’ecosistema di concentrarsi solo su Ethereum (ETH) potrebbe quindi portare le applicazioni PoW di Ethereum a morire lentamente.
Il primo hack avviene su un’applicazione Ethereum PoW
In seguito alla fusione di Ethereum (ETH), è rimasta una catena persistente chiamata Ethereum PoW (ETHW), che riunisce i pochi minatori che desiderano mantenere vivo il consenso proof-of-work. Con la maggior parte dell’ecosistema che si fida del nuovo aggiornamento di Ethereum, la vitalità della versione PoW è incerta nella migliore delle ipotesi.
Dopo pochi giorni di esistenza, sono comparsi i primi problemi. Mentre la blockchain in sé sembra funzionare come dovrebbe, non è così per tutte le applicazioni, in particolare per OmniBridge. Questa piattaforma consente la comunicazione con la Gnosis Chain e un errore nello smart contract del ponte ha permesso all’attaccante di eseguire azioni sia sulla blockchain di Ethereum che sulla versione PoW.
Questo perché OmniBridge utilizza l’ID della catena Ethereum invece dell’ID della catena Ethereum PoW sulla catena proof-of-work. In termini semplici, un Chain ID può essere visto come il numero di identità di una blockchain. Questo malfunzionamento ha permesso all’attaccante di scaricare gli ETHW sullo smart contract Ethereum PoW OmniBridge.
Lo sfruttamento della falla
Questo hack è stato portato alla luce dai team BlockSec:
1/ Allarme | BlockSec ha rilevato che gli sfruttatori stanno riproducendo il messaggio (calldata) della catena PoS su @EthereumPow La causa principale dello sfruttamento è che il bridge non verifica correttamente il chainid effettivo (che viene mantenuto da sé) del messaggio cross-chain.
– BlockSec (@BlockSecTeam) September 18, 2022
L’attaccante ha inizialmente depositato ETH nello smart contract OmniBridge sulla blockchain di Ethereum. Poi li ha ritirati. Parallelamente, il problema dell’ID della catena su OmniBridge di Ethereum PoW ha permesso all’attaccante di utilizzare un comando per ricevere una quantità equivalente di ETHW su questa rete.
Normalmente, una serie di aggiornamenti di Ethereum, noti come Ethereum Improvement Proposal (EIP), avrebbe impedito questo tipo di attacco. Ma il codice di OmniBridge utilizzerebbe una vecchia versione del linguaggio Solidity. L’hard fork che ha portato alla nascita di Ethereum PoW avrebbe permesso di rivelare queste falle.
Il bottino dell’operazione non è di per sé significativo, ma l’analisi delle transazioni dell’aggressore mostra che ha inviato 741 ETHW alla piattaforma di scambio MEXC. Questo porta l’importo al momento dell’incidente a un valore di 8-10.000 dollari al massimo.
Tuttavia, è probabile che problemi simili siano presenti in altre applicazioni e che permettano ad altri aggressori di recuperare ETHW e venderli su piattaforme centralizzate.
Interagire con Ethereum PoW
Per coloro che avevano ETH sulla rete Ethereum al momento della fusione, hanno raccolto una quantità equivalente di ETHW su Ethereum PoW. I team della nuova rete hanno indicato le informazioni da compilare per configurare il proprio portafoglio, per utilizzarlo:
Informazioni sulla rete principale
ETHW
Nome della rete: ETHW-mainnet
Nuovo URL RPC: https://t.co/MQ04pnPQyW
ID catena: 10001
Simbolo di valuta: ETHW
URL del Block Explorer (opzionale): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) ufficiale ETHPoW (@EthereumPoW) September 15, 2022
Secondo CoinGecko, le seguenti piattaforme hanno già quotato ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Tuttavia, vi ricordiamo di prestare attenzione ai tentativi di truffa in questa occasione
