Ethereum: ETHPoW sufre su primer hackeo

ETHPoW (ETHW), la cadena de bloques de prueba de trabajo (PoW) recientemente bifurcada de Ethereum, sufrió su primer ataque en el puente Omni.

Este domingo 18 de septiembre de 2022, la cadena de bloques de prueba de trabajo (PoW) de Ethereum, ETHPoW, experimentó su primer ataque en el Omni Bridge.

ETHPoW es atacada

ETHPoW (ETHW), la cadena de bloques de prueba de trabajo (PoW) de Ethereum bifurcada, experimentó su primer ataque desde su lanzamiento la semana pasada. 

La empresa de seguridad Blockchain, BlockSec, reveló por primera vez el hackeo en un tuit el domingo. 

Según los investigadores, la cadena sufrió un “ataque de repetición” debido a una falla en el contrato de un tercero que permitió a un actor malicioso obtener 200 tokens ETHW, o alrededor de $1,074 al momento de escribir este artículo.

¿Cómo ocurrió el ataque?

El ataque tuvo lugar a través de Omni Bridge, el protocolo de conexión de la cadena Gnosis. “El atacante (0x82fae) primero transfirió 200 WETH a través de Gnosis Chain Omni Bridge, luego repitió el mismo mensaje en la cadena PoW y recibió 200 ETHW adicionales”, tuiteó la compañía. 

1/ Alerta | BlockSec detectó que los explotadores están reproduciendo el mensaje (calldata) de la cadena PoS en @EthereumPow. La causa raíz de la explotación es que el puente no verifica correctamente el chainid real (que se mantiene por sí mismo) del mensaje de cadena cruzada. 

@BlockSecTeam

CoinDesk explicó, un ataque de repetición ocurre cuando la misma transacción se repite en dos cadenas de bloques cuando no debería ser así.

El pirata informático transfirió aproximadamente 200 tokens WETH a través del puente y repitió la misma transacción en la cadena PoW, lo que le valió al atacante otros 200 ETHW. 

En una publicación de blog, BlockSec detalló que “la causa raíz de la vulnerabilidad es que Omni Bridge usa una ID de cadena antigua en la cadena PoW y no valida correctamente la ID de cadena real de los mensajes entre cadenas”. La compañía advierte que esto significa que el problema puede haberse extendido a otros protocolos.

Los desarrolladores ETHPoW hablan del incidente de seguridad

Los desarrolladores de ETHPoW confirmaron el incidente; sin embargo, reiteraron que el ataque no ocurrió “a nivel de cadena” porque explotó una vulnerabilidad en el contrato inteligente de Onmi y no afectó directamente a la red Ethereum PoW en sí.

“Nos hemos puesto en contacto con el puente de todas las formas y les hemos informado de los riesgos“, dijo el equipo en una entrada de blog. “Los puentes deben verificar correctamente el ChainID real de los mensajes entre cadenas“.

El ataque se produjo días después de que la cadena de bloques de Ethereum se dividiera, lo que resultó en una nueva versión.

Ethereum (ETH) se sometió el jueves a una actualización largamente esperada llamada The Merge, que hizo que su cadena de bloques cambiará de un mecanismo de consenso PoW a Prueba de participación (PoS), lo que hizo que la minería de ETH quedará obsoleta. 

Para continuar con la minería, un grupo de usuarios de Ethereum optó por crear una red y crear una nueva versión llamada ETHPoW para mantener la prueba de trabajo.

Compartelo con tus amigos:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Education Template