BlockSec detecteert replay-exploit met ETHPoW-tokens

De Ethereum proof-of-work blockchain leed aan een replay-exploit waarbij de aanvaller 200 ETHW-tokens extra kreeg na het opnieuw afspelen van een bericht van de proof-of-stake-keten op ETHPoW, volgens een cyberbeveiligingsbedrijf dat het probleem op zondag waarschuwde. 

"De uitbuiter (0x82fae) bracht eerst 200 WETH over via de omni bridge van de Gnosis-keten en speelde vervolgens hetzelfde bericht opnieuw af op de PoW-keten en kreeg extra 200 ETHW", beveiligingsbedrijf BlockSec zei op Twitter. De aanval vond plaats omdat de bridge de ketting-ID van het cross-chain-bericht niet correct verifieerde, beweerde het bedrijf. 

Het ETHPoW blockchain-ontwikkelaarsteam zei dat een aanval misbruik maakte van de contractkwetsbaarheid van de bridge, en niet van hun blockchain zelf. 

"ETHW zelf heeft EIP-155 afgedwongen en er is geen replay-aanval van ETHPoS en naar ETHPoS, die de beveiligingsingenieurs van ETHW Core van tevoren hebben gepland", de ETHW Core-ontwikkelaars schreef in een medium bericht.

Het ontwikkelaarsteam zei ook dat het sinds zaterdag probeerde in contact te komen met Omni Bridge om hen te informeren over de risico's. Omni Bridge reageerde niet onmiddellijk op een verzoek om commentaar. 

"We hebben op alle mogelijke manieren contact opgenomen met de brug en hen op de hoogte gebracht van de risico's", zei het. "Bridges moeten de daadwerkelijke ChainID van de cross-chain-berichten correct verifiëren", zeiden ze.

De ETHPoW-vork op de proof-of-work Ethereum-blockchain ging live deze week na The Merge. Volgens gegevens van TradingView is de token met meer dan 35% gedaald na het nieuws van de exploit op zondagochtend.

© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.