BlockSec détecte un exploit avec des jetons ETHPoW

Selon une société de cybersécurité qui a informé de la vulnérabilité dimanche, la blockchain de preuve de travail Ethereum a connu un exploit de relecture qui a permis à l’attaquant d’obtenir 200 jetons ETHW supplémentaires en rejouant un message de la chaîne de preuve de participation sur ETHPoW .

« L’exploiteur (0x82fae) a d’abord transféré 200 WETH via le pont Omni de la chaîne Gnosis, puis a rejoué le même message sur la chaîne PoW et a obtenu 200 ETHW supplémentaires », a déclaré la société de sécurité BlockSec sur Twitter. L’attaque s’est produite parce que le pont n’a pas correctement vérifié l’ID de chaîne du message inter-chaînes, a affirmé la société.

Selon l’équipe de développement de la blockchain ETHPoW, un assaut a ciblé la vulnérabilité du contrat du pont plutôt que sa blockchain directement.

« ETHW lui-même a appliqué EIP-155, et il n’y a pas d’attaque par relecture d’ETHPoS et d’ETHPoS, ce que les ingénieurs en sécurité d’ETHW Core ont planifié à l’avance », ont écrit les développeurs d’ETHW Core dans un article moyen.

L’équipe de développeurs a également déclaré qu’elle tentait d’entrer en contact avec Omni Bridge depuis samedi pour les informer des risques. Omni Bridge n’a pas immédiatement répondu à une demande de commentaire.

« Nous avons contacté le pont de toutes les manières et les avons informés des risques », a-t-il déclaré. « Les ponts doivent vérifier correctement le ChainID réel des messages inter-chaînes », ont-ils déclaré.

Le fork ETHPoW sur la blockchain Ethereum de preuve de travail a été mis en ligne cette semaine après The Merge. Le jeton a chuté de plus de 35% suite à l’annonce de l’exploit dimanche matin, selon les données de TradingView.