ETHPoW, la blockchain de proof-of-work bifurcada de Ethereum que se puso en marcha poco después de la transición de Ethereum a proof-of-stake (PoS) la semana pasada, ha sido víctima de un exploit de repetición que resultó en el desvío de 200 tokens ETHW adicionales por parte del atacante.
La compañía de seguridad Blockchain BlockSec reveló el incidente el domingo, diciendo que el ataque ocurrió a través del puente Omni en la cadena Gnosis.
"El 16 de septiembre de 2022, detectamos que algunos atacantes cosecharon con éxito lotes de ETHW reproduciendo el mensaje (es decir, los calldata) de la cadena PoS en EthereumPoW (también conocida como la cadena PoW)", escribió BlockSec en un post de Medium.
Según los investigadores de seguridad, el atacante primero transfirió 200 WETH (Wrapped Ethereum) a través del puente Omni y luego reprodujo el mismo mensaje en la cadena PoW, obteniendo 200 ETHW (ETHPoW) adicionales.
"Al hacer esto, el saldo del contrato de cadena desplegado en la cadena PoW pudo ser drenado", dijo BlockSec.
La firma detalló que "la causa raíz del exploit es que el puente Omni en la cadena PoW utiliza el chainId antiguo y no verifica correctamente el chainId real del mensaje de la cadena cruzada", añadiendo que pueden existir problemas similares en otros protocolos.
El precio del token ETHW se desplomó un 37% tras la noticia, alcanzando un nuevo mínimo de 4,22 dólares el lunes, según CoinMarketCap. Actualmente se negocia a poco más de 5 dólares.
Los desarrolladores de ETH PoW confirman un exploit
Los desarrolladores detrás del protocolo ETHW confirmaron el incidente; sin embargo, insistieron en que el ataque no se originó en la blockchain de ETHW y solo afectó al puente Omni, no a la red Ethereum PoW en sí.
"El propio ETHW ha aplicado el EIP-155, y no hay ningún ataque de repetición desde ETHPoS y hacia ETHPoS, que los ingenieros de seguridad de ETHW Core han planeado de antemano", dijo el equipo de ETHW en una entrada de blog.
Los desarrolladores también dijeron que se han puesto en contacto con el equipo de Omni para alertarles del exploit.
"Nos hemos puesto en contacto con el puente por todos los medios y les hemos informado de los riesgos", dijeron los desarrolladores de la cadena de bloques ETHW, y añadieron que "los puentes deben verificar correctamente el ChainID real de los mensajes de la cadena cruzada."
Had tried every way to contact Omni Bridge yesterday.
Bridges need to correctly verify the actual ChainID of the cross-chain messages.
— EthereumPoW (ETHW) Official #ETHW #ETHPoW (@EthereumPoW) September 18, 2022
¿Qué es ETHPoW?
ETHPoW es un hard forkhard fork de Ethereum apoyado por un grupo de mineros que declararon su intención de preservar la cadena PoW tras la fusión -el término comúnmente utilizado para el cambio de la red a PoS.
La cadena fue lanzada la semana pasada poco después de que se produjera la fusión, sin embargo, tuvo un comienzo bastante accidentado ya que la red se enfrentó a varios problemas técnicos, incluyendo un problema de identificación de la cadena.
Se ha esperado durante media década, se ha retrasado durante años, se ha alabado, se ha condenado, se ha ajustado y, según dicen sus desarrolladores, se ha perfeccionado.
Preparado o no, ya está llegando la tan esperada fusión de Ethereum. Pero, dada la proeza técnica que supone, ¿existe el riesgo de que algo salga terriblemente mal?
La fusión—la transición de Ethereum de un sistema prueba de trabajo a prueba de participación—está prevista entre el 10 y el 20 de septiembre. Durante esta actualiz...
En particular, unas semanas antes de la fusión se planteó la posibilidad de un ataque de repetición si ETHPoW no cambiaba el ID de la cadena de su red con respecto al de la red principal de Ethereum.
Sin embargo, el fundador de ETHPoW, Chandler Guo, insistió entonces en que esos temores eran exagerados, y dijo a Decrypt que la red cambiaría todos los ID de cadena en su blockchain para evitar tales ataques.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.
La Fórmula 1 ha renovado su asociación con el exchange de criptomonedas Crypto.com, extendiendo el acuerdo hasta 2030, mientras ambas entidades buscan capitalizar su impulso compartido.
La asociación renovada permitirá que Crypto.com continúe destacándose en eventos clave de la Fórmula 1, incluyendo el Gran Premio de Miami, donde ha sido el patrocinador principal desde el inicio de la carrera en 2022.
El acuerdo, firmado inicialmente en 2021, marcó la incursión de la Fórmula 1 en el ecosistema c...
Siguiendo el impulso de los cambios anticipados en la política de criptomonedas de EE.UU., Binance.US afirmó que busca restaurar sus servicios en USD a principios de 2025, según un comunicado compartido con Decrypt.
Esto marca el primer cambio operativo importante del exchange desde que la presión regulatoria le forzó a suspender el trading en fiat el año pasado.
La plataforma ha operado con acceso bancario restringido desde junio de 2023, cuando las demandas civiles de la Comisión de Bolsa y Va...
La firma de análisis de blockchain Chainalysis anunció el miércoles la adquisición de Hexagate, un proveedor de seguridad Web3, en respuesta a la creciente amenaza de hacks y exploits en criptomonedas.
"Juntos, Chainalysis y Hexagate ofrecen una solución integral de riesgos que incluye prevención, cumplimiento y remedio", escribió el CEO de Chainalysis, Johathan Levin en el anuncio.
La suma pagada por Hexagate no fue aclarada en el comunicado. Decrypt se ha ha puesto en contacto para obtener ac...
