Após uma semana de existência, a nova cadeia de bloqueio Ethereum PoW (ETHW) viu uma das suas aplicações sofrer o seu primeiro hack. A escolha da maioria do ecossistema para se concentrar apenas no Ethereum (ETH) poderia então levar as aplicações de Ethereum PoW a morrerem lentamente.
O primeiro hack ocorre numa aplicação Ethereum PoW
Seguindo a Ethereum Merge (ETH), uma cadeia persistente chamada Ethereum PoW (ETHW) permaneceu, reunindo os poucos mineiros que desejam manter vivo o consenso da prova de trabalho. Com a maioria do ecossistema a confiar na nova actualização Ethereum, a viabilidade da versão PoW é, na melhor das hipóteses, incerta.
Após alguns dias de existência, os primeiros problemas começaram a surgir. Enquanto a própria cadeia de bloqueio parece estar a funcionar como deveria, este não é o caso para todas as aplicações, especialmente OmniBridge. Esta plataforma permite a comunicação com a Cadeia Gnosis e um erro no contrato inteligente da ponte permitiu ao atacante executar acções tanto na cadeia de bloqueio Ethereum como na versão PoW.
Isto seria porque a OmniBridge utiliza o Ethereum Chain ID em vez do Ethereum PoW Chain ID na cadeia de prova de trabalho. Em termos simples, um ID de cadeia pode ser visto como o número de identificação de uma cadeia de bloqueio. Este mau funcionamento permitiu que o atacante despejasse os ETHW no Ethereum PoW OmniBridge smart contract.
A exploração da falha
Este hack foi trazido à luz pelas equipas do BlockSec:
1/Alerta | BlockSec detectou que os exploradores estão a reproduzir a mensagem (calldata) da cadeia PoS em @EthereumPow A causa raiz da exploração é que a ponte não verifica correctamente o chainid real (que é mantido por si só) da mensagem da cadeia cruzada.
– BlockSec (@BlockSecTeam) 18 de Setembro de 2022
O atacante inicialmente depositou o ETH no contrato inteligente OmniBridge sobre a cadeia de bloqueio Ethereum. Em seguida, retirou-os. Em paralelo, a emissão de Chain ID no OmniBridge de Ethereum PoW permitiu ao atacante utilizar um comando, para receber uma quantidade equivalente de ETHW nesta rede.
Normalmente, uma série de actualizações ao Ethereum, conhecida como Ethereum Improvement Proposal (EIP), teria impedido este tipo de ataque. Mas diz-se que o código OmniBridge utiliza uma versão antiga da linguagem Solidity. O garfo duro que levou ao nascimento de Ethereum PoW teria permitido que estas falhas fossem reveladas.
O saque da operação não é significativo em si mesmo, mas a análise das transacções do atacante mostra que ele enviou 741 ETHW de volta à plataforma de troca MEXC. Isto eleva o montante no momento do incidente a um valor de 8-10.000 dólares no máximo.
No entanto, é provável que problemas semelhantes estejam presentes noutras aplicações e permitiriam a outros atacantes recuperar ETHW e vendê-los em plataformas centralizadas.
Interagindo com Ethereum PoW
Para aqueles que tinham ETH na rede Ethereum na altura da fusão, recolheram uma quantidade equivalente de ETHW no Ethereum PoW. As equipas da nova rede indicaram a informação a ser preenchida para configurar a sua carteira, para a utilizar:
ETHW Mainnet Info
Nome da rede: ETHW-mainnet
Novo URL RPC: https://t.co/MQ04pnPQyW
ID da cadeia: 10001
Símbolo da moeda: ETHW
URL do Block Explorer (Opcional): https://t.co/J3JllmQA8I– EthereumPoW (ETHW) Oficial ETHPoW (@EthereumPoW) 15 de Setembro de 2022
Segundo a CoinGecko, as seguintes plataformas já listaram ETHW:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
No entanto, gostaríamos de o lembrar de estar atento a quaisquer tentativas de fraude nesta ocasião