Хакер воспользовался уязвимостью протокола OmniBridge и вывел из него средства в новых токенах
Первый взлом смарт-контракта в новой сети Ethereum PoW принес злоумышленнику 200 ETHW (около $1 тыс.). Кража средств стала возможной из-за того, что протокол OmniBridge (мост для перевода средств между различными блокчейнами) в сети PoW принял повторное сообщение о транзакции, уже проведенной в сети Ethereum. Об этом в Twitter (соцсеть заблокирована в России) сообщила специализирующаяся на кибербезопасности компания BlockSec .
Утром 15 сентября в основной сети Ethereum состоялось обновление The Merge («Слияние»), которое перевело альткоин с протокола Proof-of-Work на Proof-of-Stake (PoS). Спустя несколько часов заработал хардфорк блокчейна (старая версия), поддерживающий майнинг, — Ethereum PoW. Токен старого варианта сети получил обозначение ETHW.
18 сентября злоумышленник перевел 200 обернутых Ethereum (WETH) через протокол OmniBridge блокчейна Ethereum в сеть Gnosis. Затем, он повторил то же сообщение о транзакции в новом блокчейне PoW для получения 200 ETHW от копии смарт-контракта OmniBridge в этой сети, и получил эти средства.
По объяснению аналитиков, атака стала возможной в результате уязвимости смарт-контракта OmniBridge, который использует неправильный уникальный идентификатор блокчейна. Смарт-контракт OmniBridge перепутал сети и ошибочно выплатил средства мошеннику.
Сама сеть Ethereum PoW не была взломана, украденные средства принадлежали протоколу OmniBridge. Однако, аналитики предупредили, что подобные атаки с использованием блокчейна PoW и токенов ETHW могут случиться при работе и с другими межсетевыми мостами.
Курс ETHW опускался на централизованных биржах с момента запуска хардфорка, но его цена в старой версии сети поднялась в пятницу 16 сентября до 16,4 тыс. USDT (около $16,4 тыс.) на децентрализованных биржах. К этому привело желание владельцев различных бонусных PoW-версий монет, начисленных после «Слияния», вывести их из сети нового хардфорка Ethereum.