Специалисты фирмы по кибербезопасности BlockSec обнаружили эксплойт, связанный с форком Ethereum PoW (ETHW).
1/ Alert | BlockSec detected that exploiters are replaying the message (calldata) of the PoS chain on @EthereumPow. The root cause of the exploitation is that the bridge doesn't correctly verify the actual chainid (which is maintained by itself) of the cross-chain message.
— BlockSec (@BlockSecTeam) September 18, 2022
По данным BlockSec, смарт-контракт системы OmniBridge для Gnosis Chain неправильно проверял параметр chainID. Благодаря этому злоумышленники смогли получить дополнительные 200 ETHW, отправив аналогичную сумму в WETH.
Разработчики PoW-форка подчеркнули, что проблема в контракте, а не в новом блокчейне. По их словам, команда «связывалась с OmniBridge и информировала их о рисках».
«ETHW самостоятельно обеспечил соблюдение EIP-155, и повторная атака с ETHPoS и на ETHPoS, которую инженеры по безопасности ETHW Core запланировали заранее, отсутствует», — уточнили разработчики.
15 сентября в 9:42 (Киев/МСК) в основной сети Ethereum активировали масштабное обновление The Merge. Блокчейн успешно перевели на алгоритм консенсуса Proof-of-Stake.
Разработчики PoW-форка Ethereum анонсировали запуск мейннета в течение суток с момента апгрейда. Через несколько часов после активации обновления команда опубликовала идентификаторы сети.
