https://mail.google.com/mail/u/0/?ui=2&ik=3ab76eea9c&view=att&th=1648a6d4d6c2fa40&attid=0.1&disp=safe&zw

ETHW confirmó vulnerabilidad de contratos

 ETHW confirmó la vulnerabilidad de los contratos, pero rechazó las afirmaciones de ataques de repetición.

ETHW es la cadena proof-of-work (PoW) que surgió tras la fusión de ethereum.

Y se movió para acallar las afirmaciones de que sufrió un ataque de repetición on-chain durante el fin de semana.

La empresa de auditoría de contratos inteligentes BlockSec señaló lo que describió como un ataque de repetición.

Que tuvo lugar el 16 de septiembre, en el que los atacantes cosecharon tokens ETHW.

Reproduciendo los datos de llamada de la cadena proof-of-stake (PoS) de ethereum en la cadena bifurcada PoW.

Según BlockSec, la causa raíz del exploit se debía a que el puente cross-chain Omni en la cadena ETHW utilizaba chainID viejos.

Y no verificaba correctamente el ID correcto del mensaje cross-chain.

La mainnet de ethereum y las redes de prueba utilizan dos identificadores para usos diferentes.

A saber, un ID de red y un ID de cadena (chainID).

Los mensajes entre nodos utilizan el ID de red, mientras que las firmas de transacciones utilizan el chainID.

La EIP-155 introdujo el chainID como medio para evitar ataques de repetición entre las cadenas de bloques ETH y ethereum classic (ETC).

BlockSec fue el primer servicio de análisis que identificó el ataque de repetición y lo notificó al equipo de ETHW.

Que a su vez rechazó rápidamente las afirmaciones iniciales de que se llevó a cabo un ataque de repetición on-chain.

ETHW intentó notificar a Omni del ataque a nivel de contrato, si bien confirmó la vulnerabilidad de los contratos.

El análisis del ataque reveló que el atacante comenzó transfiriendo 200 WETH a través del puente Omni de la cadena Gnosis.

Antes de reproducir el mismo mensaje en la cadena PoW, obteniendo 200ETHW adicionales.

Esto hizo que se agotara el saldo del contrato desplegado en la cadena PoW.

Fuente: Cointelegraph