Bir iş kanıtı (PoW) konsensüs mekanizması üzerinde çalışmaya devam eden Ethereum blok zincirinin versiyonu olan Ethereum PoW, hatalı bir üçüncü taraf sözleşmesi nedeniyle hafta sonu bir tekrar istismarı yaşadı.
Ethereum PoW geliştiricileri sorunlar hakkında uyarıldı ve sorunu düzeltmek için hemen adımlar attı.
Blok zinciri, Perşembe günü Birleştirme olarak bilinen bir olayda hisse kanıtı (PoS) konsensüs mekanizmasına geçen Ethereum ağının bir çatalı olarak kuruldu. PoS ağı artık Ethereum olarak devam ediyor.
Tekrardan yararlanma, aynı işlemin, gerekmediğinde her iki zincirde de çoğaltılması anlamına gelir.
Bu, bir kullanıcı Ethereum PoW üzerinde işlem yaptıysa, aynı işlem Ethereum’da da yürütüldü – bu da, asıl işlem başka bir zincirde yürütülürken bile, sonunda saldırganların akıllı sözleşmeleri yasa dışı bir şekilde kandırarak bir zincirden jetonları serbest bırakmasına izin veriyor.
Saldırganlar, istismarı gerçekleştirmek için Gnosis ağının Omni köprüsünü kullandı. Cumartesi günü köprü üzerinden yaklaşık 200 ağırlıklı eter (wETH) transfer edildi ve aynı işlem PoW zincirinde tekrarlandı – saldırganın 200 ETHW veya o sırada yaklaşık 1.600 dolar kazanmasıyla sonuçlandı.
Güvenlik firması BlockSec bir tweet’te, Ethereum PoW ağının bir sözleşme tarafından kullanılan Zincir Kimliğinden alınan hatalı verilerin soruna neden olduğunu söyledi. Zincir Kimliği, ağ için işlemleri imzalamak için tarayıcı tabanlı kripto cüzdanı MetaMask tarafından kullanılan bir dizi sayıdır. Yanlış bir Zincir Kimliği, kullanıcılar doğru ağa bağlı olmadığından işlemlerin başarısız olmasına neden olarak ağı kullanılamaz hale getirir.
BlockSec, sorunun sonunda PoW zincirinde dağıtılan zincir sözleşmesinin dengesinin “boşaltılmasına” neden olabileceği konusunda uyardı.
Bu arada, Ethereum PoW geliştiricileri Pazar günkü bir gönderide, saldırının blok zincirinin kendisinden değil, köprünün sözleşme güvenlik açığından yararlandığını söyledi.
“Köprü ile her şekilde temasa geçtik ve onları riskler hakkında bilgilendirdik” dedi. Geliştiriciler, “Köprülerin, zincirler arası mesajların gerçek ChainID’sini doğru bir şekilde doğrulaması gerekiyor” diye yazdı.
Bu nedenle ağ, ilk gününde, kullanıcıların Ethereum PoW tarafından sağlanan genel bilgileri kullanarak blok zincirinin sunucularına erişemediklerini belirten aksaklıklar gördü. CoinDesk iddiaları doğruladı ve bildirildiği gibi sağlanan bağlantıları kullanarak Ethereum PoW’nun web sunucularına erişemedi.
CoinGecko verilerine göre ETHW tokenleri, istismarın ardından son 24 saat içinde düştü, yaklaşık %37 düştü ve haftalık kayıpları %80’in üzerine çıkardı.
