Este domingo por la noche, BlockSec anunció que había descubierto un exploit en la bifurcación ETHPoW. Tras la actualización de Ethereum, la bifurcación ETHPoW que conservó el sistema de consenso de prueba de trabajo sufrió un ataque. El ataque consistía en una explotación de la cadena que le permitió al atacante repetir sus tokens. Reproduciendo un mensaje de la cadena de la cadena de participación (PoS) en la cadena de ETHPoW el atacante recibió 200 tokens WETH.
Un equipo de desarrolladores de BlockSec identificó la vulnerabilidad en el puente omnidireccional de la cadena Gnosis. Según BlockSec, el ataque ocurrió porque no se identificó correctamente la identificación de la cadena del mensaje de cadena cruzada. Sin embargo, BlockSec afirmó que no fue una vulnerabilidad de la Blockchain.
Tras la actualización de Ethereum, ETC y ETHPoW se mostraron como soluciones para los mineros. Por supuesto, también resultaron ser una solución para los atacantes, quienes aprovecharon la oportunidad y las vulnerabilidades de las plataformas.
Puedes seguir el canal de Telegram KEY ALERTS para estar informado sobre las últimas novedades de Bitcoin, Blockchain, Metaverso e inversiones. ¡La información es poder!
El exploit en la bifurcación ETHPoW
El anuncio y la explicación de la empresa en Twitter asegura lo siguiente: «El explotador (0x82fae) primero transfirió 200 WETH a través del puente omnidireccional de la cadena Gnosis, y luego reprodujo el mismo mensaje en la cadena PoW y obtuvo 200 ETHW adicionales». Aunque el ataque afectó a ETHPoW, directamente no era una vulnerabilidad de la Blockchain, pero si de una de las plataformas que allí operan. Este tipo de ataques exploit es común en las bifurcaciones como la de ETHPoW, ya que no suelen contar con los mecanismos de seguridad más avanzados.
A pesar de los intentos del equipo de seguridad de BlockSec de ponerse en contacto con Omni Bridge, no obtuvieron respuesta. Tras una verificación, los desarrolladores aseguraron en Medium: «ETHW mismo ha aplicado EIP-155, y no hay un ataque de repetición de ETHPoS y ETHPoW, que los ingenieros de seguridad de ETHW Core han planeado con anticipación». Esto quiere decir que, afectivamente, fue un exploit en la bifurcación ETHPoW y al parecer, los desarrolladores no estaban probando la seguridad del protocolo.
El ataque repercutió negativamente en la comunidad y es un hecho que las bifurcaciones generalmente pierden su utilidad unas semanas o meses luego de haber ocurrido. Según BlockSec «Los puentes deben verificar correctamente el ChainID real de los mensajes de cadena cruzada» para evitar este tipo de ataques. Lo más inquietante es la falta de respuesta por parte de Omni Bridge ante las advertencias de BlockSec. Además de no responder las solicitudes de colaboración para arreglar el exploit en la bifurcación ETHPoW.
Repercusiones del ataque
Tras conocerse el día de ayer en Twitter del ataque, de inmediato ETHPoW se desplomó. En las últimas 24 horas, ETHPoW perdió el 30% de su valor cotizando a $5,28. Esto podría significar un fuerte golpe para aquellos mineros que esperan poder recuperar parte de sus ganancias tras el cambio de mecanismo de consenso de Ethereum.
En el caso de ETHPoW, la necesidad de los mineros por reducir sus pérdidas les llevó a incrementar el hashrate de ETHPoW. También de un hermano menor de Ethereum, un poco más antiguo, Ethereum Classic. Aunque los niveles de rendimiento para el minado de ambas criptomonedas no es el mismo. No parecen haber sido los únicos afectados tras la actualización de Ethereum.
La euforia de la actualización había llevado a Ethereum por encima de los $1.700. Pero luego de The Merge, la criptomoneda ha estado en caída libre y actualmente cotiza en $1.309.
