บล็อกเชน Ethereum proof-of-work ประสบกับการใช้ประโยชน์จาก Replay โดยผู้โจมตีได้รับโทเค็น ETHW เพิ่มเติม 200 โทเค็นหลังจาก Replay message จาก proof-of-stake chain ตามที่บริษัทรักษาความปลอดภัยทางไซเบอร์ที่แจ้งเตือนปัญหาเมื่อวันอาทิตย์
“ผู้บุกรุก (0x82fae) โอน 200 WETH แรกผ่าน omni bridge ของ Gnosis chain จากนั้น replay message เดียวกันซ้ำบน PoW chain และได้รับ 200 ETHW เพิ่มเติม” ตามที่บริษัท BlockSec กล่าวบน Twitter การโจมตีเกิดขึ้นเนื่องจาก bridge ไม่ได้ตรวจสอบความถูกต้องของ chain ID ของ cross-chain message
ทีมนักพัฒนาบล็อกเชน ETHPoW กล่าวว่า การโจมตีใช้ประโยชน์จากช่องโหว่สัญญาของ bridge ไม่ใช่มาจากบล็อกเชนของตัวมันเอง
“ETHW เองได้บังคับใช้ EIP-155 และไม่มี replay attack จาก ETHPoS และ ETHPoS ซึ่งวิศวกรความปลอดภัยของ ETHW Core ได้วางแผนไว้ล่วงหน้า” นักพัฒนา ETHW Core เขียนไว้ในโพสต์บน Medium
ทีมนักพัฒนายังกล่าวอีกว่า ได้พยายามติดต่อกับ Omni Bridge แล้วตั้งแต่วันเสาร์เพื่อแจ้งให้ทราบถึงความเสี่ยงจาก Omni Bridge แต่ไม่ได้รับการตอบสนองต่อคำร้องในทันที
“เราได้ติดต่อ Omni Bridge ทุกวิถีทางและแจ้งให้พวกเขาทราบถึงความเสี่ยง และพวกเค้าจำเป็นต้องตรวจสอบความถูกต้องของ ChainID ที่แท้จริงของ cross-chain messages”
