BlockSec виявляє експлойт повторного відтворення за допомогою токенів ETHPoW

За даними фірми з кібербезпеки, яка попередила про проблему в неділю, блокчейн Ethereum proof-of-work постраждав від повторного експлойту, коли зловмисник отримав додаткові 200 токенів ETHW після повторного відтворення повідомлення з ланцюжка proof-of-stake на ETHPoW. 

«Експлуататор (0x82fae) спочатку передав 200 WETH через омні-міст ланцюжка Gnosis, а потім відтворив те саме повідомлення в ланцюжку PoW і отримав додаткові 200 ETHW», — заявила охоронна компанія BlockSec. сказав на Twitter. Атака сталася через те, що міст неправильно перевірив ідентифікатор ланцюга перехресного повідомлення, стверджує компанія. 

Команда розробників блокчейну ETHPoW заявила, що атака використовувала вразливість контракту мосту, а не сам блокчейн. 

«Сам ETHW застосував EIP-155, і немає повторної атаки від ETHPoS і до ETHPoS, яку інженери безпеки ETHW Core запланували заздалегідь», — розробники ETHW Core пише в середній публікації.

Команда розробників також повідомила, що з суботи намагалася зв’язатися з Omni Bridge, щоб повідомити їх про ризики. Omni Bridge не відразу відповів на запит про коментар. 

"Ми всіляко зв'язувалися з мостом і інформували їх про ризики", - йдеться в повідомленні. «Мости повинні правильно перевірити фактичний ChainID міжланцюжкових повідомлень», — сказали вони.

Форк ETHPoW на блокчейні Ethereum із підтвердженням роботи пішов жити цього тижня після The Merge. За даними TradingView, токен впав більш ніж на 35% після новин про експлойт у неділю вранці.

© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.