- Ein Angreifer hat die ETHW von einem Smart Contract auf dem Proof-of-Work-Fork von Ethereum überfallen
- Cybersicherheitsforscher warnen vor ähnlichen Angriffen auf andere Smart Contracts der ETHW
ETHPoW (ETHW), die junge Proof-of-Work (PoW)-Fork von Ethereum, hat ihren ersten bedeutenden Smart-Contract-Hack seit der Trennung des Netzwerks Ende letzter Woche erlebt.
Das Blockchain-Sicherheitsinfrastrukturunternehmen BlockSec warnte die Benutzer am Sonntag erstmals vor einem sogenannten „Replay-Angriff“, der legitime Transaktionen auf der Proof-of-Stake (PoS) Ethereum-Blockchain neben der DeFi-Anwendung Gnosis und der Multi-Token-Erweiterung OmniBridge nutzte.
Replay-Angriffe und Exploits können auftreten, wenn Kryptowährungen – in diesem Fall Wrapped Ether (WETH) und ETHW – als dasselbe Asset behandelt werden, obwohl sie technisch auf völlig separaten Blockchains existieren.
Ethereum hat sein PoW-basiertes Konsensmodell letzten Donnerstag mit einem Hard Fork auf PoS umgestellt. Dies hat Krypto-Miner offiziell zugunsten von besicherten Validierern aufgegeben, die, anstatt machtgierige GPU-Miner zu betreiben, Krypto im Netzwerk einsetzen, um das Recht zur Verarbeitung von Transaktionen zu erhalten.
Um den Mining fortzusetzen, entschieden sich einige Ethereum-Teilnehmer dafür, einen PoW-Fork in ETHW zu unterstützen, ein Netzwerk, das bei seiner Bereitstellung jedes einzelne Ethereum-gebundene Asset widerspiegelte, einschließlich Ether, NFTs und Smart Contracts, die Protokolle wie Gnosis und OmniBridge untermauern.
BlockSec teilte Blockworks mit, dass es sich bei dem Angriff nicht um einen Replay-Exploit „auf Kettenebene“ handele, sondern um einen Angriff, der aus einer Vertragslücke resultiert. Das bedeutet, dass weder Gnosis noch die Ethereum- und ETHW-Netzwerke gehackt wurden. Stattdessen zahlte der OmniBridge Smart Contract auf dem Proof-of-Work-Fork fälschlicherweise Gelder aus.
Zuerst übertrug der Exploiter 200 verpackte Ether (WETH), die derzeit 260.000 Dollar wert sind, über das OmniBridge-Protokoll der Ethereum-Blockchain an das Gnosis-Netzwerk.
Der Hack bestand darin, dieselbe Transaktionsnachricht auf dem Ethereum PoW-Fork abzuspielen, um 200 ETHW von der Kopie des OmniBridge-Smart-Vertrags dieses Netzwerks zu erhalten.
Die ETHW-Märkte brachen um etwa 40 % ein, nachdem die Nachricht von dem Exploit zum ersten Mal bekannt wurde – von 8 $ auf 5 $. Es ist unklar, ob der Angreifer die bei dem Angriff gestohlenen 200 ETHW ausgezahlt hat, aber sie sind jetzt etwa 1.000 Dollar wert.
Der Angriff war möglich, weil die OmniBridge auf der PoW-Kette immer noch Transaktionen akzeptiert, die auf die „chainID“ der Proof-of-Stake-Ethereum-Blockchain verweisen, eine Variable, die als eindeutige Kennung für verschiedene Blockchain-Netzwerke dient. Der PoW-Fork verwendet eine andere ChainID, um Aktionen zwischen den beiden Netzwerken zu trennen.
„Infolgedessen würde das Guthaben des Kettenvertrags, der auf der PoW-Kette eingesetzt wird, aufgebraucht“, schrieb BlockSec. Sicherheitsforscher warnten solche Angriffe könnte auf ETHW im Vorfeld des Forks auftreten.
Gnosis-Mitbegründer Martin Koppelmann twitterte später, dass sowohl Gnosis als auch Ethereum „in keiner Weise betroffen“ seien.
„Wir unterstützen die (ETHW-)Kette nicht und sehen uns nicht verantwortlich für das, was in dieser Kette passiert“, sagte Koppelmann. Er sagte, der Angreifer habe falsche Bridge-Aktivitäten in Gang gesetzt, um Gelder von ETHW abzuziehen.
Ein Vorschlag, die Verbindungen der Bridge zur ETHW zu deaktivieren und diese spezielle Sicherheitslücke effektiv zu schließen, werde dem Governance-Team unterbreitet, das OmniBridge beaufsichtigt, sagte er. BlockSec warnte in einem Blog, dass ähnliche Vorfälle auch anderswo im ETHW-Netzwerk auftreten könnten.
ETHW Core, die Stewards von ETHW, bestätigten am Sonntag, dass der Angriff eine Schwachstelle im Brückenvertrag beinhaltete, und hatten OmniBridge benachrichtigt.in jeder Weise“, um sie über die Risiken zu informieren, hatte aber noch keine Antwort erhalten.
. .
Der Beitrag Ethereum PoW Fork leidet unter seinem ersten Smart Contract Hack ist keine finanzielle Beratung.