- BlockSec đã ra cảnh báo về việc khai thác phát lại bằng token ETHPoW vào ngày Chủ nhật 18/9.
- Kẻ tấn công bị cáo buộc là đã lấy được thêm 200 ETHW sau khi chuyển 200 Wrapped ETH (WETH) thông qua một cầu nối của chuỗi Gnosis.
Theo một công ty an ninh mạng cảnh báo về vấn đề này vào Chủ nhật, Ethereum proof-of-work blockchain đã bị khai thác lại bằng việc kẻ tấn công nhận được thêm 200 token ETHW sau khi phát lại một thông điệp từ chuỗi PoS trên ETHPoW.
Trên Twitter, công ty bảo mật BlockSec cho biết: “Đầu tiên, kẻ khai thác (0x82fae) đã chuyển 200 WETH qua cầu nối omni của chuỗi Gnosis, sau đó phát lại cùng một thông điệp trên chuỗi PoW và nhận thêm 200 ETHW“. Công ty cho rằng, cuộc tấn công xảy ra do cầu nối này không xác minh chính xác chain ID của thông điệp cross-chain.
Nhóm nhà phát triển blockchain ETHPoW nói rằng, cuộc tấn công đã khai thác lỗ hổng hợp đồng của cầu nối, chứ không phải chính blockchain của họ.
Các nhà phát triển ETHW Core đã viết trong một bài đăng trên Medium:
Bản thân ETHW đã thực thi EIP-155 và không có cuộc tấn công phát lại nào từ ETHPoS cũng như đến ETHPoS, điều mà các kỹ sư bảo mật của ETHW Core đã lên kế hoạch trước.
Nhóm nhà phát triển cũng cho biết họ đã cố gắng liên hệ với Omni Bridge kể từ ngày thứ Bảy để thông báo cho họ về những rủi ro, nhưng Omni Bridge đã không phản hồi ngay lập tức yêu cầu nhận xét.
Họ nói rằng:
Chúng tôi đã liên hệ với cầu nối này bằng mọi cách và thông báo cho họ về những rủi ro. Ngoài ra, các cầu nối cần xác minh chính xác ChainID thực của các thông điệp cross-chain.
Trong tuần này, ETHPoW fork trên Pos Ethereum blockchain cũng đã được ra mắt sau The Merge. Theo dữ liệu từ TradingView, token đã giảm hơn 35% sau tin tức về việc khai thác vào sáng Chủ nhật.