BlockSec oppdager replay-utnyttelse med ETHPoW-tokens

Ethereum proof-of-work blockchain ble utsatt for en replay-utnyttelse med angriperen som fikk 200 ekstra ETHW-tokens etter å ha spilt en melding fra proof-of-stake-kjeden på ETHPoW, ifølge et nettsikkerhetsfirma som varslet problemet søndag. 

"Utnytteren (0x82fae) overførte først 200 WETH gjennom omni-broen til Gnosis-kjeden, og spilte deretter den samme meldingen på PoW-kjeden og fikk ekstra 200 ETHW," sikkerhetsselskapet BlockSec sa på Twitter. Angrepet skjedde fordi broen ikke korrekt bekreftet kjede-ID-en til krysskjedemeldingen, hevdet selskapet. 

ETHPoW blockchain-utviklerteamet sa at et angrep utnyttet kontraktssårbarheten til broen, og ikke selve blokkjeden deres. 

"ETHW har selv håndhevet EIP-155, og det er ikke noe gjentaksangrep fra ETHPoS og til ETHPoS, som ETHW Cores sikkerhetsingeniører har planlagt på forhånd," ETHW Core-utviklerne skrev i et Medium innlegg.

Utviklerteamet sa også at det hadde prøvd å komme i kontakt med Omni Bridge siden lørdag for å informere dem om risikoen. Omni Bridge svarte ikke umiddelbart på en forespørsel om kommentar. 

"Vi har kontaktet broen på alle måter og informert dem om risikoen," sa den. "Broer må verifisere den faktiske kjede-IDen til meldingene på tvers av kjeder," sa de.

ETHPoW-gaffelen på proof-of-work Ethereum blockchain gikk live denne uken etter The Merge. Tokenet har falt over 35 % etter nyheten om utnyttelsen søndag morgen, ifølge data fra TradingView.

© 2022 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.