- Un atacante ha asaltado ETHW desde un contrato inteligente en la bifurcación de prueba de trabajo de Ethereum
- Investigadores de ciberseguridad advierten que podrían ocurrir ataques similares en otros contratos inteligentes de ETHW
ETHPoW (ETHW), la nueva bifurcación de prueba de trabajo (PoW) de Ethereum, ha visto su primer hack de contrato inteligente significativo desde que la red se dividió a fines de la semana pasada.
La empresa de infraestructura de seguridad Blockchain, BlockSec, alertó por primera vez a los usuarios de un llamado “ataque de repetición” el domingo, que aprovechó las transacciones legítimas en la cadena de bloques Ethereum de prueba de participación (PoS) junto con la aplicación DeFi Gnosis y la extensión de múltiples tokens OmniBridge.
Los ataques de reproducción y las vulnerabilidades pueden ocurrir cuando las criptomonedas, en este caso, ether envuelto (WETH) y ETHW, se tratan como el mismo activo, aunque técnicamente existen en cadenas de bloques completamente separadas.
Ethereum hizo la transición de su modelo de consenso impulsado por PoW a PoS con una bifurcación dura el jueves pasado. Esto abandonó formalmente a los criptomineros en favor de validadores colateralizados, quienes, en lugar de ejecutar mineros de GPU hambrientos de energía, apuestan criptográficos en la red por el derecho a procesar transacciones.
En un intento por continuar con la minería, algunos participantes de Ethereum optaron por admitir una bifurcación PoW en ETHW, una red que, cuando se implementó, reflejaba todos los activos vinculados a Ethereum, incluidos ether, NFT y contratos inteligentes que sustentan protocolos como Gnosis y OmniBridge.
BlockSec le dijo a Blockworks que el ataque no fue un exploit de repetición “en el nivel de la cadena”, sino uno que resultó de una vulnerabilidad de contrato. Esto significa que ni Gnosis ni las redes Ethereum y ETHW fueron pirateadas. En cambio, el contrato inteligente OmniBridge en la bifurcación de prueba de trabajo pagó fondos por error.
Primero, el explotador transfirió 200 ether envueltos (WETH), actualmente con un valor de $ 260,000, a través del protocolo OmniBridge de la cadena de bloques Ethereum a la red Gnosis.
El hack consistió en reproducir el mismo mensaje de transacción en la bifurcación Ethereum PoW para recibir 200 ETHW de la copia de esa red del contrato inteligente OmniBridge.
Los mercados de ETHW se derrumbaron alrededor del 40% después de que se supo por primera vez el exploit, de $ 8 a $ 5. No está claro si el atacante cobró los 200 ETHW robados en el ataque, pero actualmente tiene un valor aproximado de $1,000.
El ataque fue posible debido a que OmniBridge en la cadena PoW aún acepta transacciones que hacen referencia al “chainID” de la cadena de bloques Ethereum de prueba de participación, una variable que sirve como un identificador único para diferentes redes de cadenas de bloques. La bifurcación PoW usa un ID de cadena diferente para ayudar a separar las acciones entre las dos redes.
“Como resultado, el saldo del contrato de cadena implementado en la cadena PoW se agotará”, escribió BlockSec. Investigadores de seguridad advirtieron tales ataques podría ocurrir en ETHW en el período previo a la bifurcación.
El cofundador de la cadena Gnosis, Martin Koppelmann, tuiteó más tarde para confirmar que tanto Gnosis como Ethereum “no se vieron afectados de ninguna manera”.
“No apoyamos la cadena (ETHW) y no nos vemos responsables de lo que sucede en esa cadena”, dijo Koppelmann. Dijo que el atacante había generado actividad de puente falso para drenar los fondos a través de ETHW.
Se presentará al equipo de gobierno que supervisa OmniBridge una sugerencia para desactivar los enlaces del puente a ETHW, cerrando efectivamente esta laguna de seguridad en particular, dijo. BlockSec advirtió en un blog que incidentes similares podrían ocurrir en otros lugares de la red ETHW.
ETHW Core, los administradores de ETHW, confirmaron el domingo que el ataque involucró una vulnerabilidad de contrato de puente y notificó a OmniBridge “en todos los sentidos” para informarles de los riesgos, pero aún no había recibido una respuesta.
Reciba las principales noticias e información sobre criptografía del día en su bandeja de entrada todas las noches. Suscríbase ahora al boletín informativo gratuito de Blockworks.
