Beosin 安全團隊發現,在以太坊合併並分叉出ETHW 後,Gnosis Omni Bridge 跨鏈橋項目由於合約代碼中固定寫死了chainID,而未真正驗證當前所在鏈的chainID,導致合約在驗證簽名時能夠在分叉鏈上驗證通過。攻擊者首先在ETH 主網上通過Omni Bridge 轉移WETH,隨後將相同的交易內容在ETHW 鏈上進行了重放,獲取了等額的ETHW。目前攻擊者已經轉移了741 ETHW 到交易所。 Beosin 安全團隊建議如果項目方合約裡面預設了chainID,請先手動將chainId 更新,即使項目方決定不支持ETHW,但是由於無法徹底隔絕通過跨鏈橋之間的資產流動,建議都在ETHW 鏈上更新。
dark
