BlockSec cảnh báo các cuộc tấn công phát lại trên EthereumPoW

Gần đây, BlockSec đã phát hiện các cuộc tấn công phát lại (Replay Attack) đang diễn ra trên mạng EthereumPoW. Kẻ tấn công đã chuyển 200 WETH qua Omni Bridge của chuỗi Gnosis, sau đó phát lại cùng một thông báo trên chuỗi PoW và nhận được 200 ETHW khác.

Nguyên nhân của các cuộc tấn công này là Omni Bridge trên chuỗi PoW sử dụng chainId cũ và không xác minh chính xác chainId thực của thông điệp xuyên chuỗi (cross-chain).

Vào ngày 16 tháng 9, công ty bảo mật BlockSec đã phát hiện các cuộc tấn công phát lại đang diễn ra trên mạng EthereumPOW và cố gắng liên hệ với mạng để ngăn chặn cuộc tấn công.

1/ Alert | BlockSec detected that exploiters are replaying the message (calldata) of the PoS chain on @EthereumPow. The root cause of the exploitation is that the bridge doesn't correctly verify the actual chainid (which is maintained by itself) of the cross-chain message.

— BlockSec (@BlockSecTeam) September 18, 2022

Kẻ tấn công (0x82fae) đầu tiên đã chuyển 200 WETH qua cầu omni của chuỗi Gnosis, sau đó phát lại cùng một thông báo trên chuỗi PoW và nhận thêm 200 ETHW. Bằng cách đó, số dư của hợp đồng chuỗi được triển khai trên chuỗi PoW có thể được rút hết.

Nhóm nhà phát triển blockchain ETHPoW nói rằng một cuộc tấn công đã khai thác lỗ hổng hợp đồng của cây cầu, không phải blockchain của riêng họ.

That's why we asked the other day…

A message from the core –https://t.co/aemIaDFXvP

And a tweet to clarify – https://t.co/9bCKm0sugK

Thanks Blocksec, they were the 1st to pinpoint the issue.
Thanks the core and eip155, for protecting ETHW community.#safu #security https://t.co/htlLXQlTT7

— EthereumPoW (ETHW) Official #ETHW #ETHPoW (@EthereumPoW) September 18, 2022

Các nhà phát triển ETHW Core đã viết trong một bài đăng trên Medium:

“Bản thân ETHW đã thực thi EIP-155 và không có cuộc tấn công phát lại nào từ ETHPoS và ETHPoS, mà các kỹ sư bảo mật của ETHW Core đã lên kế hoạch trước”.

Theo phân tích cuộc tấn công của BlockSec, nguyên nhân gốc rễ của việc khai thác là cầu Omni trên chuỗi PoW sử dụng chainId cũ và không xác minh chính xác chainId thực của thông điệp xuyên chuỗi.

Do đó, những kẻ tấn công có thể thu thập rất nhiều ETHW (và cả các mã thông báo khác thuộc sở hữu của cầu nối trên chuỗi PoW) và giao dịch chúng ở một số thị trường.

BlockSec đã cố gắng liên hệ với Omni Bridge kể từ thứ Bảy để thông báo cho họ về những rủi ro. Omni Bridge đã không trả lời ngay lập tức yêu cầu bình luận.

Giá ETHW tiếp tục bán phá giá mạnh kể từ khi có thông tin, giá ETHW giảm 45% trong 24 giờ qua, hiện đang giao dịch ở mức 4,60 đô la.

EthereumPoW (ETHW) là một hard fork Proof of Work của Ethereum sau khi sự kiện The Merge diễn ra. Điều này có nghĩa là EthereumPoW là một fork hoàn toàn giữ lại chức năng của Ethereum trước The Merge. ETHW là một loại tiền điện tử được tạo ra sau khi nâng cấp The Merge của Ethereum được hoàn thành vào ngày 15 tháng 9.

Theo: coincu

Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.

Nội dung đề xuất