BlockSec обнаруживает эксплойт воспроизведения с токенами ETHPoW
Форк блокчейна Ethereum с доказательством работы (ETHPoW) подвергся эксплойту повторного воспроизведения, когда злоумышленник получил дополнительные 200 токенов ETHW после воспроизведения сообщения из блокчейна доказательства доли на форке с доказательством работы, согласно фирме по кибербезопасности BlockSec, которая предупредила о проблеме в воскресенье.
«Эксплойтер (0x82fae) сначала передал 200 WETH через Omni Bridge блокчейна Gnosis, а затем воспроизвел то же сообщение в блокчейне PoW и получил дополнительные 200 ETHW», — сообщила компания BlockSec в твиттере.
Атака произошла из-за того, что мост не проверил идентификатор блокчейна межсетевого сообщения, заявила компания.
Команда разработчиков блокчейна ETHPoW заявила, что атака использовала уязвимость контракта моста, а не сам их блокчейн.
«ETHW сам применил EIP-155, и нет атаки повтора на ETHPoS или из нее. Эту возможность заранее заблокировали инженеры по безопасности ETHW Core», — написали разработчики ETHW Core в посте на Medium.
Команда разработчиков также заявила, что с субботы пыталась связаться с Omni Bridge, чтобы сообщить им о рисках. Omni Bridge пока не отвечает на запросы о комментариях.
«Мы всячески пытались связаться с мостом и информировали их о рисках», — говорится в сообщении. «Мосты должны правильно проверять фактический ChainID межсетевых сообщений», — сказали они.
Форк ETHPoW на блокчейне Ethereum с доказательством работы был запущен на этой неделе после слияния. Согласно данным TradingView, токен упал более чем на 35% после новостей об эксплоите в воскресенье утром.