После недели существования нового блокчейна Ethereum PoW (ETHW) одно из его приложений подверглось первому взлому. Выбор большей части экосистемы сосредоточиться только на Ethereum (ETH) может привести к тому, что приложения Ethereum PoW будут умирать медленной смертью.
Первый взлом произошел на приложении Ethereum PoW
После слияния Ethereum (ETH) осталась устойчивая цепочка под названием Ethereum PoW (ETHW), объединяющая немногих майнеров, желающих сохранить консенсус proof-of-work. Поскольку большая часть экосистемы доверяет новому обновлению Ethereum, жизнеспособность версии PoW в лучшем случае вызывает сомнения.
После нескольких дней существования начали появляться первые проблемы. Хотя сама блокчейн, похоже, работает как надо, это не относится ко всем приложениям, особенно к OmniBridge. Эта платформа обеспечивает связь с Gnosis Chain, и ошибка в смарт-контракте моста позволила злоумышленнику выполнить действия как на блокчейне Ethereum, так и на версии PoW.
Это связано с тем, что OmniBridge использует идентификатор цепи Ethereum вместо идентификатора цепи Ethereum PoW в цепи доказательства работы. Проще говоря, Chain ID можно рассматривать как идентификационный номер блокчейна. Этот сбой позволил злоумышленнику сбросить ETHW на смарт-контракт Ethereum PoW OmniBridge.
Эксплуатация недостатка
Об этом взломе стало известно от команд BlockSec:
1/ Alert | BlockSec обнаружил, что эксплуататоры воспроизводят сообщение (calldata) цепочки PoS на @EthereumPow Первопричина эксплуатации заключается в том, что мост неправильно проверяет фактический chainid (который сохраняется сам по себе) межцепочечного сообщения.
— BlockSec (@BlockSecTeam) September 18, 2022
Изначально злоумышленник внес ETH в смарт-контракт OmniBridge на блокчейне Ethereum. Затем он отозвал их. Параллельно проблема с идентификатором цепи на OmniBridge Ethereum PoW позволила злоумышленнику использовать команду, чтобы получить эквивалентное количество ETHW в этой сети.
Обычно серия обновлений Ethereum, известная как Ethereum Improvement Proposal (EIP), предотвращает этот тип атаки. Но код OmniBridge, как говорят, использует старую версию языка Solidity. Жесткий форк, который привел к рождению Ethereum PoW, позволил бы выявить эти недостатки.
Сама по себе добыча от операции невелика, но анализ транзакций злоумышленника показывает, что он отправил 741 ETHW обратно на биржевую платформу MEXC. Таким образом, сумма на момент инцидента составляет не более 8-10 000 долларов.
Однако вполне вероятно, что подобные проблемы присутствуют и в других приложениях и позволят другим злоумышленникам добывать ETHW и продавать их на централизованных платформах.
Взаимодействие с Ethereum PoW
Для тех, кто имел ETH в сети Ethereum на момент слияния, они собрали эквивалентное количество ETHW на Ethereum PoW. Команды новой сети указали информацию, которую необходимо заполнить для настройки своего кошелька, чтобы пользоваться им:
ETHW Информация о главной сети
Сетевое имя: ETHW-mainnet
Новый URL RPC: https://t.co/MQ04pnPQyW
ID цепи: 10001
Валютный символ: ETHW
URL(необязательно) блокчейн-проводника: https://t.co/J3JllmQA8I— EthereumPoW (ETHW) Официальный ETHPoW (@EthereumPoW) September 15, 2022
По данным CoinGecko, следующие платформы уже внесли ETHW в листинг:
- OKX ;
- Digifinex;
- FTX ;
- Bitfinex ;
- MEXC Global.
Однако мы хотели бы напомнить вам, чтобы вы были бдительны в отношении любых попыток мошенничества по этому случаю
