Een replay-aanval op Omni bridge resulteerde in een hacker die 200 WETH uit de Ethereum PoW-keten exploiteerde.
Op 18 september identificeerde beveiligingsbedrijf BlockSec een replay-aanval op de Ethereum PoW-keten.
De aanvaller bracht 200 WETH over van de Ethereum PoS-keten via de Omni-brug. De transactie werd naar verluidt gerepliceerd op de Ethereum PoW-keten.
3/ De uitbuiter (0x82fae) bracht eerst 200 WETH over via de omni bridge van de Gnosis-keten en speelde vervolgens hetzelfde bericht opnieuw af op de PoW-keten en kreeg 200 ETHW extra. Als gevolg hiervan zou het saldo van het ketencontract dat op de PoW-keten wordt ingezet, worden opgebruikt.
— BlockSec (@BlockSecTeam) 18 september 2022
Omni bridge kon de werkelijke chainID niet valideren voordat de transactie werd goedgekeurd. Als gevolg hiervan werd de PoW-keten leeggemaakt van 200 WETH.
Volgens beveiligingsbedrijf Certik, de aanvaller heeft het geld via Mexc Global overgemaakt voor mogelijke uitbetaling.
EthereumPoW is Safu
Van de TX-hash van de exploit, de ETHPoS en ETHPoW verschillende transactiegegevens hadden.
ETHW Core-ontwikkelaars verduidelijkt dat de replay-aanval onmogelijk was tegen EthereumPoW omdat het EIP-155 afdwong.
Door het ontwerp bevat EIP-155 de chainID van een transactie om herhaling van de transactie op verschillende ketens te voorkomen.
ETHW Core voegde eraan toe dat de aanval misbruik maakte van een contractkwetsbaarheid van de Omni-bridge. De brug is geïnformeerd om het probleem op te lossen.
Trage acceptatie voor ETHW
Sinds de lancering op 15 september heeft Ethereum PoW niet veel acceptatie gekregen van de cryptogemeenschap.
Toonaangevende beurzen zoals FTX, OKX en Bybit verzamelden zich om te zien dat de spothandel op 16 september werd geopend voor het ETHW-token. Als gevolg hiervan bereikte de ETHW-prijs een recordhoogte van $ 60.68.
Met de algemene achteruitgang van de markt en de lage opwinding na de fusie is de ETHW echter gedaald onder de $ 5, meer dan 90% van zijn hoogste winst ooit als perstijd af te werpen.
Investering in grijswaarden zinspeelde op plannen om zijn 3.1 miljoen ETHPoW airdrop-tokens te verkopen. Het bedrijf zei dat het de tokens zal verkopen en de opbrengst onder de aandeelhouders zal verdelen.
Bron: https://cryptoslate.com/ethereum-pow-loses-200-weth-to-omni-bridge-vulnerability-exploit/