زنجیره اثبات کار (PoW) Post-Ethereum Merge (PoW) ETHW برای سرکوب ادعاهایی مبنی بر اینکه متحمل یک حمله تکراری روی زنجیره شده است حرکت کرده است. در آخر هفته.

شرکت حسابرسی قرارداد هوشمند BlockSec چیزی را که توصیف شد به عنوان یک حمله تکراری که در 16 سپتامبر انجام شد، که در آن مهاجمان با پخش مجدد داده های تماس اثبات سهام اتریوم (PoS) توکن های ETHW را جمع آوری کردند. زنجیره ای در زنجیره انشعابی Ethereum PoW.

طبق گفته BlockSec، دلیل اصلی این سوء استفاده به این دلیل بود که پل زنجیره ای متقاطع Omni در زنجیره ETHW از chainID قدیمی استفاده می کرد و به درستی تأیید نمی کرد chainID پیام متقاطع زنجیره ای را درست می کند.

Mainnet و شبکه های آزمایشی اتریوم از دو شناسه برای کاربردهای مختلف استفاده می کنند، یعنی شناسه شبکه و شناسه زنجیره (chainID). پیام‌های همتا به همتا بین گره‌ها از شناسه شبکه استفاده می‌کنند، در حالی که امضاهای تراکنش از شناسه زنجیره استفاده می‌کنند. EIP-155 chainID را به عنوان وسیله ای برای جلوگیری از حملات مجدد بین بلاک چین ETH و Ethereum Classic (ETC) معرفی کرد.

1/ هشدار | BlockSec تشخیص داد که بهره‌برداران در حال پخش مجدد پیام (calldata) زنجیره PoS در @EthereumPow هستند. علت اصلی بهره برداری این است که پل به درستی زنجیره واقعی (که به تنهایی حفظ می شود) پیام زنجیره متقابل را تأیید نمی کند.

— BlockSec (@BlockSecTeam) 18 سپتامبر 2022

BlockSec اولین سرویس تجزیه و تحلیلی بود که حمله تکرار را پرچم‌گذاری کرد و به ETHW اطلاع داد، که به نوبه خود به سرعت ادعاهای اولیه مبنی بر اینکه یک حمله تکراری در زنجیره انجام شده است را رد کرد. ETHW تلاش کرد تا Omni Bridge را در سطح قرارداد مطلع کند:

تحلیل حمله نشان داد که بهره‌بردار با انتقال 200 WETH از طریق پل Omni زنجیره Gnosis قبل از پخش مجدد همان پیام در زنجیره PoW شروع کرده و 200ETHW اضافی را به‌دست آورده است. این منجر به تخلیه تعادل قرارداد زنجیره ای مستقر در زنجیره PoW شد.

مرتبط: زنجیره‌های متقاطع در تلاقی: هک‌ها مکانیسم‌های دفاعی بهتری را طلب می‌کنند

تیم توضیح داد که این شناسه زنجیره ای درستی نیست که از طریق کد عملیاتی CHAINID که توسط EIP-1344 و توسط فورک حاصل پس از ادغام اتریوم تشدید شده است:

“احتمالاً به این دلیل است به این واقعیت که کد بسیار قدیمی است (با استفاده از Solidity 0.4.24). این کد همیشه تا زمانی که زنجیره PoW به پایان برسد خوب کار می‌کند.

این به مهاجمان اجازه می‌دهد تا ETHW و احتمالاً دیگر توکن‌های متعلق به پل را در زنجیره PoW جمع‌آوری کنند و به تجارت آن‌ها در فهرست بازارها ادامه دهند. توکن های مربوطه کوین تلگراف با BlockSec تماس گرفته است تا مقدار استخراج شده در طول بهره برداری را مشخص کند.

دنبال کردن رویداد ادغام موفق اتریوم که شاهد انتقال بلاک چین قرارداد هوشمند از PoW به PoS بود، گروهی از ماینرها تصمیم گرفتند زنجیره PoW را از طریق هارد فورک ادامه دهند.