ETHPoW, la blockchain de proof-of-work bifurcada de Ethereum que se puso en marcha poco después de la transición de Ethereum a proof-of-stake (PoS) la semana pasada, ha sido víctima de un exploit de repetición que resultó en el desvío de 200 tokens ETHW adicionales por parte del atacante.
La compañía de seguridad Blockchain BlockSec reveló el incidente el domingo, diciendo que el ataque ocurrió a través del puente Omni en la cadena Gnosis.
"El 16 de septiembre de 2022, detectamos que algunos atacantes cosecharon con éxito lotes de ETHW reproduciendo el mensaje (es decir, los calldata) de la cadena PoS en EthereumPoW (también conocida como la cadena PoW)", escribió BlockSec en un post de Medium.
Según los investigadores de seguridad, el atacante primero transfirió 200 WETH (Wrapped Ethereum) a través del puente Omni y luego reprodujo el mismo mensaje en la cadena PoW, obteniendo 200 ETHW (ETHPoW) adicionales.
"Al hacer esto, el saldo del contrato de cadena desplegado en la cadena PoW pudo ser drenado", dijo BlockSec.
La firma detalló que "la causa raíz del exploit es que el puente Omni en la cadena PoW utiliza el chainId antiguo y no verifica correctamente el chainId real del mensaje de la cadena cruzada", añadiendo que pueden existir problemas similares en otros protocolos.
El precio del token ETHW se desplomó un 37% tras la noticia, alcanzando un nuevo mínimo de 4,22 dólares el lunes, según CoinMarketCap. Actualmente se negocia a poco más de 5 dólares.
AD
AD
Los desarrolladores de ETH PoW confirman un exploit
Los desarrolladores detrás del protocolo ETHW confirmaron el incidente; sin embargo, insistieron en que el ataque no se originó en la blockchain de ETHW y solo afectó al puente Omni, no a la red Ethereum PoW en sí.
"El propio ETHW ha aplicado el EIP-155, y no hay ningún ataque de repetición desde ETHPoS y hacia ETHPoS, que los ingenieros de seguridad de ETHW Core han planeado de antemano", dijo el equipo de ETHW en una entrada de blog.
Los desarrolladores también dijeron que se han puesto en contacto con el equipo de Omni para alertarles del exploit.
"Nos hemos puesto en contacto con el puente por todos los medios y les hemos informado de los riesgos", dijeron los desarrolladores de la cadena de bloques ETHW, y añadieron que "los puentes deben verificar correctamente el ChainID real de los mensajes de la cadena cruzada."
Had tried every way to contact Omni Bridge yesterday.
Bridges need to correctly verify the actual ChainID of the cross-chain messages.
— EthereumPoW (ETHW) Official #ETHW #ETHPoW (@EthereumPoW) September 18, 2022
¿Qué es ETHPoW?
ETHPoW es un hard fork de Ethereum apoyado por un grupo de mineros que declararon su intención de preservar la cadena PoW tras la fusión -el término comúnmente utilizado para el cambio de la red a PoS.
La cadena fue lanzada la semana pasada poco después de que se produjera la fusión, sin embargo, tuvo un comienzo bastante accidentado ya que la red se enfrentó a varios problemas técnicos, incluyendo un problema de identificación de la cadena.
En particular, unas semanas antes de la fusión se planteó la posibilidad de un ataque de repetición si ETHPoW no cambiaba el ID de la cadena de su red con respecto al de la red principal de Ethereum.
AD
AD
Sin embargo, el fundador de ETHPoW, Chandler Guo, insistió entonces en que esos temores eran exagerados, y dijo a Decrypt que la red cambiaría todos los ID de cadena en su blockchain para evitar tales ataques.
Stay on top of crypto news, get daily updates in your inbox.
