บล็อกเชน proof-of-work ของ Ethereum ประสบกับช่องโหว่ Replay Attack ที่ถูกใช้โดยผู้โจมตีทำให้ได้รับเหรียญ ETHW เพิ่มเติม 200 เหรียญ หลังจาก Replay message จาก proof-of-stake chain ตามที่บริษัทรักษาความปลอดภัยทางไซเบอร์ที่แจ้งเตือนปัญหาเมื่อวันอาทิตย์
“ผู้บุกรุก (0x82fae) ได้ทำโอน 200 WETH แรกผ่าน omni bridge ของ Gnosis chain จากนั้น replay message เดียวกันซ้ำบน PoW chain ทำให้ผู้บุกรุกได้รับ 200 ETHW เพิ่มเติม” BlockSec กล่าวบน Twitter การโจมตีเกิดขึ้นนี้เนื่องจาก bridge ไม่ได้ตรวจสอบความถูกต้องของ chain ID ของ cross-chain message
ทีมนักพัฒนาบล็อกเชน ETHPoW กล่าวว่า การโจมตีโดยใช้ประโยชน์จากช่องโหว่สัญญาของ bridge ไม่ใช่มาจากบล็อกเชนของตัวมันเอง
“ETHW เองได้บังคับใช้ EIP-155 และไม่มี replay attack จาก ETHPoS และ ETHPoS ซึ่งวิศวกรความปลอดภัยของ ETHW Core ได้วางแผนไว้ล่วงหน้า” นักพัฒนา ETHW Core เขียนไว้ในโพสต์บน Medium
ทีมนักพัฒนายังกล่าวอีกว่า ได้พยายามติดต่อกับ Omni Bridge แล้วตั้งแต่วันเสาร์เพื่อแจ้งให้ทราบถึงความเสี่ยงจาก Omni Bridge แต่ไม่ได้รับการตอบสนองต่อคำร้องในทันที
“เราได้ติดต่อ Omni Bridge ทุกวิถีทางและแจ้งให้พวกเขาทราบถึงความเสี่ยง” โดยนักพัฒนากล่าวต่อไปว่า “Bridge นั้นจำเป็นต้องตรวจสอบความถูกต้องของ ChainID ที่แท้จริงของ cross-chain messages”
credit : theblock
0
0
Facebook Comments