Na een week van bestaan heeft de nieuwe blockchain Ethereum PoW (ETHW) een van zijn toepassingen zijn eerste hack zien ondergaan. De keuze van de meerderheid van het ecosysteem om zich alleen op Ethereum (ETH) te richten zou er dan toe kunnen leiden dat Ethereum PoW-toepassingen een langzame dood sterven.
Eerste hack vindt plaats op een Ethereum PoW applicatie
Na de Ethereum Merge (ETH) is er een persistente keten overgebleven, genaamd Ethereum PoW (ETHW), die de weinige miners samenbrengt die de proof-of-work consensus in leven willen houden. Nu de meerderheid van het ecosysteem vertrouwen heeft in de nieuwe Ethereum-update, is de levensvatbaarheid van de PoW-versie in het beste geval onzeker.
Na een paar dagen zijn de eerste problemen begonnen. Hoewel de blockchain zelf lijkt te werken zoals het hoort, is dit niet het geval voor alle toepassingen, met name OmniBridge. Dit platform maakt communicatie mogelijk met de Gnosis Chain en door een fout in het smart contract van de bridge kon de aanvaller acties uitvoeren op zowel de Ethereum blockchain als de PoW versie.
Dit komt omdat OmniBridge de Ethereum Chain ID gebruikt in plaats van de Ethereum PoW Chain ID op de proof-of-work keten. Eenvoudig gezegd kan een Chain ID worden gezien als het identiteitsnummer van een blockchain. Door deze storing kon de aanvaller de ETHW’s dumpen op het Ethereum PoW OmniBridge smart contract.
De exploitatie van het lek
Deze hack werd aan het licht gebracht door BlockSec teams:
1/ Alert | BlockSec heeft ontdekt dat exploitanten het bericht (calldata) van de PoS-keten op @EthereumPow opnieuw afspelen. De hoofdoorzaak van de exploitatie is dat de bridge het werkelijke chainid (dat door zichzelf wordt onderhouden) van het cross-chain bericht niet correct verifieert.
– BlockSec (@BlockSecTeam) September 18, 2022
De aanvaller stortte aanvankelijk ETH in het OmniBridge smart contract op de Ethereum blockchain. Daarna trok hij ze terug. Tegelijkertijd kon de aanvaller door het Chain ID-probleem op OmniBridge van Ethereum PoW een commando gebruiken om een gelijkwaardige hoeveelheid ETHW op dit netwerk te ontvangen.
Normaal gesproken zou een reeks updates voor Ethereum, bekend als het Ethereum Improvement Proposal (EIP), dit soort aanvallen hebben voorkomen. Maar de OmniBridge code zou een oude versie van de Solidity taal gebruiken. Bij de hard fork die leidde tot de geboorte van Ethereum PoW zouden deze gebreken aan het licht zijn gekomen.
De buit van de operatie is op zich niet significant, maar uit analyse van de transacties van de aanvaller blijkt dat hij 741 ETHW terugstuurde naar het MEXC exchange platform. Dit brengt het bedrag op het moment van het incident op een waarde van maximaal 8-10.000 dollar.
Het is echter waarschijnlijk dat gelijkaardige problemen aanwezig zijn in andere toepassingen en andere aanvallers in staat zouden stellen ETHW te recupereren en te verkopen op gecentraliseerde platformen.
Interactie met Ethereum PoW
Voor degenen die ETH hadden op het Ethereum netwerk op het moment van de Samenvoeging, verzamelden zij een gelijkwaardige hoeveelheid ETHW op Ethereum PoW. De teams van het nieuwe netwerk hebben aangegeven welke informatie moet worden ingevuld om de portefeuille te configureren, om deze te gebruiken:
ETHW Mainnet Info
Netwerknaam: ETHW-mainnet
Nieuwe RPC URL: https://t.co/MQ04pnPQyW
Ketting ID: 10001
Valutasymbool: ETHW
Block Explorer URL(Optioneel): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Officieel ETHPoW (@EthereumPoW) September 15, 2022
Volgens CoinGecko hebben de volgende platforms ETHW al genoteerd:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
We willen u er echter aan herinneren om waakzaam te zijn voor zwendelpogingen bij deze gelegenheid
