Et replay-angrep mot Omni bridge resulterte i at en hacker utnyttet 200 WETH fra Ethereum PoW-kjeden.
Den 18. september identifiserte sikkerhetsfirmaet BlockSec et replay-angrep startet mot Ethereum PoW-kjeden.
Angriperen overførte 200 WETH fra Ethereum PoS-kjeden gjennom Omni-broen. Transaksjonen ble angivelig replikert på Ethereum PoW-kjeden.
3/ Utnytteren (0x82fae) overførte først 200 WETH gjennom omni-broen til Gnosis-kjeden, og spilte deretter den samme meldingen på PoW-kjeden og fikk ekstra 200 ETHW. Som et resultat ville saldoen til kjedekontrakten som ble utplassert på PoW-kjeden bli tappet.
— BlockSec (@BlockSecTeam) September 18, 2022
Omni bridge klarte ikke å validere den faktiske kjede-IDen før transaksjonen ble godkjent. Som et resultat ble PoW-kjeden tappet for 200 WETH.
I følge sikkerhetsfirmaet Certik, angriperen har overført midlene gjennom Mexc Global for mulig utbetaling.
EthereumPoW er Safu
Fra TX-hashen til utnyttelsen, den ETHPoS og ETHPoW hadde forskjellige transaksjonsdata.
ETHW kjerneutviklere avklart at replay-angrepet var umulig mot EthereumPoW da det håndhevet EIP-155.
Ved design inkluderer EIP-155 kjede-IDen til en transaksjon for å unngå gjentagelser av transaksjonen på forskjellige kjeder.
ETHW Core la til at angrepet utnyttet en kontraktssårbarhet i Omni-broen. Broen har blitt informert om å ta tak i problemet.
Sakte adopsjon for ETHW
Siden lanseringen den 15. september har Ethereum PoW ikke samlet mye adopsjon fra kryptosamfunnet.
Ledende børser som FTX, OKX og Bybit samlet seg rundt for å se at spothandelen åpnet for ETHW-tokenet 16. september. Som et resultat nådde ETHW-prisen en rekordhøy på $60.68.
Med den generelle markedsnedgangen og lav spenning etter sammenslåingen har imidlertid ETHW falt under $5 XNUMX, kaste av over 90 % av sin all-time high-gevinst som pressetid.
Gråtoneinvestering antydet planer å selge sine 3.1 millioner ETHPoW airdrop-tokens. Firmaet sa at det vil selge tokens og omfordele inntektene til aksjonærene.
Kilde: https://cryptoslate.com/ethereum-pow-loses-200-weth-to-omni-bridge-vulnerability-exploit/