EthereumPOW бачить експлойт «Replay» протягом 200 ETHW днів після Rocky Start

EthereumPOW, версія блокчейну Ethereum , яка продовжує працювати на основі механізму консенсусу підтвердження роботи (PoW), зазнала експлойту повторного відтворення на вихідних через несправний договір третьої сторони.

Розробники EthereumPOW були попереджені про проблеми та негайно вжили заходів для усунення проблеми.

Блокчейн був створений як форк мережі Ethereum , яка перейшла на механізм консенсусу proof-of-stake (PoS) у четвер під час події, відомої як Merge. Мережа PoS тепер продовжує працювати як Ethereum.

Експлойт повторного відтворення стосується тієї самої транзакції, яка дублюється в обох ланцюгах, коли вони не повинні цього робити.

Це означає, що якщо користувач здійснював транзакцію на Ethereum PoW, те ж саме було виконано на Ethereum , що врешті-решт дозволяє зловмисникам незаконно обдурити смарт-контракти, щоб випустити токени з ONE ланцюга, навіть якщо фактична транзакція була виконана в іншому ланцюзі.

Для здійснення експлойту зловмисники використовували міст Omni мережі Gnosis . Близько 200 зважених ефірів (wETH) було передано через міст у суботу, і ту саму транзакцію було відтворено в ланцюжку PoW, у результаті чого зловмисник отримав 200 ETHW, або приблизно 1600 доларів на той час.

Помилкові дані з ID ланцюга мережі Ethereum PoW, який використовується контрактом, спричинили проблему, охоронна фірма BlockSec сказав у твіті. ID ланцюга — це набір чисел, який використовує браузерний Крипто MetaMask для підписання транзакцій у мережі. Неправильний ID ланцюга призводить до збою транзакцій, оскільки користувачі T підключені до правильної мережі, що робить мережу непридатною для використання.

BlockSec попередив, що ця проблема може призвести до того, що баланс ланцюжкового контракту, розгорнутого в ланцюжку PoW, «вичерпається».

Тим часом розробники EthereumPOW сказав у недільній публікації що атака використовувала контрактну вразливість мосту, а не сам блокчейн.

"Ми всіляко зв'язувалися з мостом і інформували їх про ризики", - йдеться в повідомленні. «Мости повинні правильно перевірити фактичний ChainID повідомлень між ланцюжками», — написали розробники.

Таким чином, у перший день у мережі виникли збої: користувачі заявляли, що T можуть отримати доступ до серверів блокчейну, використовуючи публічну інформацію, надану Ethereum PoW. CoinDesk перевірив претензії та T зміг отримати доступ до веб-серверів EthereumPOW за допомогою наданих посилань, як повідомляється.

Токени ETHW впали за останні 24 години після експлойту, впавши приблизно на 37%, збільшивши тижневі втрати до понад 80%. Показують дані CoinGecko.