攻擊者從以太坊工作量證明分叉上的智能合約中突襲了ETHW網絡安全研究人員警告說,類似的攻擊可能發生在其他ETHW 智能合約上
ETHPoW (ETHW) 是初出茅廬的工作量證明(PoW) 以太坊分支,自上週晚些時候網絡分裂以來,已經出現了第一次重大的智能合約黑客攻擊。
區塊鏈安全基礎設施公司BlockSec 在周日首次提醒用戶注意所謂的“重放攻擊”,該攻擊利用了權益證明(PoS) 以太坊區塊鏈上的合法交易以及DeFi 應用程序Gnosis 和多代幣擴展OmniBridge。
當加密貨幣——在這種情況下是點評的以太(WETH) 和ETHW——被視為相同的資產時,即使它們在技術上存在於完全獨立的區塊鏈上,也會發生重放攻擊和漏洞利用。
上週四,以太坊通過硬分叉將其基於PoW 的共識模型轉換為PoS。這正式放棄了加密貨幣礦工,轉而支持質押驗證者,這些驗證者不是運行耗電的GPU 礦工,而是在網絡中質押加密貨幣以獲得處理交易的權利。
為了繼續挖礦,一些以太坊參與者選擇支持ETHW 中的PoW 分叉,該網絡在部署時反映了每一個與以太坊綁定的資產,包括以太、NFT 和支持Gnosis 和OmniBridge 等協議的智能合約。
BlockSec 告訴0XZX,這次攻擊不是“鏈級”的重放漏洞,而是合約漏洞造成的。這意味著Gnosis 和Ethereum 和ETHW 網絡都沒有被黑客入侵。相反,工作量證明分叉上的OmniBridge 智能合約錯誤地支付了資金。
首先,利用者通過以太坊區塊鏈的OmniBridge 協議將200 個打包的以太(WETH)(目前價值260,000 美元)轉移到Gnosis 網絡。
黑客攻擊包括在以太坊PoW 分叉上重放相同的交易消息,以從該網絡的OmniBridge 智能合約副本中接收200 ETHW。
在漏洞利用的消息首次傳出後,ETHW 市場下跌了約40%——從8 美元跌至5 美元。目前尚不清楚攻擊者是否兌現了在攻擊中被盜的200 ETHW,但它現在價值約1,000 美元。
由於PoW 鏈上的OmniBridge 仍然接受引用權益證明以太坊區塊鏈“chainID”的交易,因此攻擊是可能的,該變量用作不同區塊鍊網絡的唯一標識符。 PoW 分叉使用不同的chainID 來幫助分離兩個網絡之間的操作。
“結果,部署在PoW 鏈上的鏈合約的餘額將被耗盡,”BlockSec 寫道。安全研究人員警告說,此類攻擊可能會在分叉前發生在ETHW 上。
Gnosis 聯合創始人Martin Koppelmann 後來在推特上表示,Gnosis 和以太坊都“沒有受到影響”。
“我們不支持(ETHW)鏈,也不認為我們對該鏈上發生的事情負責,”科佩爾曼說。他說,攻擊者製造了虛假的橋接活動,以消耗ETHW 上的資金。
他說,將向監督OmniBridge 的治理團隊提出停用橋與ETHW 鏈接的建議,從而有效地關閉這個特定的安全漏洞。 BlockSec 在博客中警告說,類似事件可能在ETHW 網絡的其他地方發生。
ETHW 的管家ETHW Core 週日證實,此次攻擊涉及橋接合約漏洞,並已“以各種方式”通知OmniBridge 以告知他們風險,但尚未收到回應。
每天晚上將當天的頂級加密貨幣新聞和見解發送到你的收件箱。立即訂閱0XZX 的免費通訊。
資訊來源:由0x資訊編譯自BLOCKWORKS。版權歸作者Sebastian Sinclair所有,未經許可,不得轉載