Une semaine après son lancement, la nouvelle blockchain Ethereum PoW (ETHW) a vu l’une de ses applications connaître son premier piratage. Le choix de la plupart des écosystèmes de se concentrer uniquement sur Ethereum (ETH) pourrait entraîner la lente disparition des applications Ethereum PoW.
Un hack à moins de 10 000$
Après la fusion Ethereum (ETH) “The Merge”, une chaîne restante appelée Ethereum PoW (ETHW) est restée, réunissant un petit nombre de mineurs qui souhaitaient maintenir le consensus grâce à la preuve de travail. La plupart de l’écosystème faisant confiance aux nouvelles mises à jour d’Ethereum, donc la viabilité d’une version PoW est pour le moins incertaine.
Après quelques jours d’existence, voici le premier problème qui a commencé à apparaître. Si tout semble bien fonctionner en ce qui concerne la blockchain elle-même, toutes les applications ne semblent pas exempt de tout reproche, en particulier OmniBridge. La plate-forme permet la communication avec la chaîne Gnosis, et un bug dans le contrat intelligent du bridge a permis aux attaquants d’effectuer des opérations sur la blockchain Ethereum et les versions PoW.
Selon BlockSec, la première plate-forme à détecter l’incident, cette attaque par relecture s’est produite parce que le pont n’a pas réussi à vérifier correctement l’ID de chaîne réel des messages inter-chaînes sur la blockchain EthereumPow.
L’attaquant a d’abord transféré 200 WETH via Omnibridge de Gnosis Chain. Il a ensuite réexécuté la transaction sur la chaîne PoW, gagnant 200 ETHW supplémentaires. Selon la société de sécurité blockchain, les attaquants peuvent vider les soldes des contrats sur les chaînes PoW. CertiK a déclaré que les pirates avaient transféré les fonds vers MEXC.
Le butin de l’opération en lui-même n’est pas énorme, et l’analyse des transactions de l’attaquant a montré qu’il avait réussi à subtiliser 741 ETHW qu’il a ensuite envoyé sur la plateforme de trading MEXC. Cela situe le montant du hack à un maximum de 8 $ à 10 000 $ au moment du fait.
Notez, cependant, qu’il peut y avoir des problèmes similaires sur d’autres applications, et d’autres attaquants peuvent alors récupérer ETHW et les vendre sur des plateformes centralisées.
Les difficultés à venir pour ETHPoW
Le compte Twitter officiel de la version PoW d’Ethereum a confirmé l’attaque, notant qu’il ne s’agissait pas d’une relecture de transaction au niveau de la blockchain, mais d’une relecture des données d’appel (call data) causée par une violation du contrat.
“Nous avons essayé par tous les moyens de contacter Omni Bridge hier. Les ponts doivent être en mesure de vérifier correctement le ChainID réel des messages inter-chaînes”.
En fait, une attaque par relecture au niveau de la blockchain sur ETHPOW est impossible car le réseau a déployé EIP-155 avant le hard fork. Cela signifie que les transactions sur la chaîne ETH de preuve de participation ne peuvent pas être rejouées sur la chaîne POW, et vice versa.
Cela dit, le fait que l’attaque ne se produise pas au niveau de la blockchain ne change pas grand-chose. Le fork PoW n’existe que depuis moins de 72 heures, et être attaqué si tôt pourrait tuer son adoption.
Selon Peckshield, ETHW a perdu 12% de sa valeur suite à cet événement. En fait, la pièce a perdu 17,8 % au cours des dernières 24 heures et plus de 80 % au cours des deux dernières semaines.
En plus de cette attaque, ETHW a été fortement touché par les décisions de certains grands investisseurs institutionnels, tels que Grayscale, qui a révélé qu’il vendrait ses jetons, et Poloniex, qui a annoncé la cotation d’EthereumFair (ETF) comme son principal jeton PoW.
