Po tygodniu istnienia nowego blockchaina Ethereum PoW (ETHW) jedna z jego aplikacji doznała pierwszego włamania. Wybór większości ekosystemu, aby skupić się tylko na Ethereum (ETH), może następnie doprowadzić do tego, że aplikacje Ethereum PoW umrą powolną śmiercią.
Pierwszy hack występuje na aplikacji Ethereum PoW
Po Ethereum Merge (ETH) pozostał trwały łańcuch o nazwie Ethereum PoW (ETHW), skupiający nielicznych górników, którzy chcą utrzymać konsensus proof-of-work przy życiu. Z większością ekosystemu ufającego nowej aktualizacji Ethereum, rentowność wersji PoW jest w najlepszym wypadku niepewna.
Po kilku dniach istnienia zaczęły pojawiać się pierwsze problemy. O ile sam blockchain wydaje się działać tak jak powinien, to nie dotyczy to wszystkich aplikacji, a zwłaszcza OmniBridge. Platforma ta umożliwia komunikację z Gnosis Chain, a błąd w smart kontrakcie mostu pozwolił atakującemu na wykonanie działań zarówno na blockchainie Ethereum, jak i w wersji PoW.
Byłoby tak, ponieważ OmniBridge używa Ethereum Chain ID zamiast Ethereum PoW Chain ID na łańcuchu proof-of-work. W prostych słowach, Chain ID może być postrzegany jako numer identyfikacyjny blockchaina. Ta usterka umożliwiła atakującemu zrzucenie ETHW na Ethereum PoW OmniBridge smart contract.
Wykorzystanie wady
Ten hack został ujawniony przez zespoły BlockSec:
1/ Alert | BlockSec wykrył, że exploity odtwarzają wiadomość (calldata) łańcucha PoS na @EthereumPow Podstawową przyczyną exploita jest to, że mostek nie weryfikuje poprawnie rzeczywistego chainid (który jest utrzymywany przez niego samego) wiadomości cross-chain.
– BlockSec (@BlockSecTeam) 18 września 2022
Atakujący początkowo wpłacił ETH do smart kontraktu OmniBridge na blockchainie Ethereum. Następnie wycofał je. Równolegle, problem Chain ID na OmniBridge z Ethereum PoW pozwalał atakującemu na użycie polecenia, w celu otrzymania równoważnej ilości ETHW w tej sieci.
Normalnie, seria aktualizacji Ethereum, znana jako Ethereum Improvement Proposal (EIP), zapobiegłaby tego typu atakom. Ale kod OmniBridge podobno wykorzystuje starą wersję języka Solidity. Hard fork, który doprowadził do narodzin Ethereum PoW pozwoliłby na ujawnienie tych wad.
Łup z operacji sam w sobie nie jest znaczący, ale analiza transakcji atakującego pokazuje, że wysłał on 741 ETHW z powrotem do platformy wymiany MEXC. Dzięki temu kwota w chwili zdarzenia ma wartość najwyżej 8-10 tys. dolarów.
Prawdopodobnie jednak podobne problemy występują w innych aplikacjach i pozwoliłyby innym atakującym odzyskać ETHW i sprzedać je na scentralizowanych platformach.
Współdziałanie z Ethereum PoW
Dla tych, którzy w momencie Merge posiadali ETH w sieci Ethereum, zebrali równoważną ilość ETHW na Ethereum PoW. Zespoły nowej sieci wskazały informacje, które należy wypełnić, aby skonfigurować jej portfel, aby móc z niego korzystać:
ETHW Mainnet Info
Nazwa sieci: ETHW-mainnet
Nowy adres URL RPC: https://t.co/MQ04pnPQyW
ID łańcucha: 10001
Symbol waluty: ETHW
Block Explorer URL(Optional): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Official ETHPoW (@EthereumPoW) September 15, 2022
Według CoinGecko, następujące platformy już notowały ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Przypominamy jednak o zachowaniu czujności na próby wyłudzeń z tej okazji
