以太坊分叉 ETHPoW 遭受桥接重放漏洞，代币坦克 37%

ETHPoW 是从以太坊分叉出来的工作量证明区块链，上周在以太坊过渡到权益证明(PoS)后不久上线，它已成为重放漏洞的受害者，该漏洞导致额外的 200 个 ETHW 代币被攻击者。

区块链安全公司 BlockSec 在周日披露了这一事件，称攻击是通过 Gnosis 链上的 Omni Bridge 发生的。

“2022 年 9 月 16 日，我们检测到一些攻击者通过在 EthereumPoW（又名 PoW 链）上重放 PoS 链的消息（即 calldata）成功地收获了大量 ETHW，”BlockSec 在一篇Medium 帖子中写道。

据安全研究人员称，攻击者首先通过 Omni Bridge 转移了 200 WETH，然后在 PoW 链上重放了相同的消息，获得了额外的 200 ETHW。

“这样做，可能会耗尽 PoW 链上部署的链合约的余额，”BlockSec 说。

该公司详细说明“漏洞利用的根本原因是 PoW 链上的 Omni 桥使用旧的 chainId 并且没有正确验证跨链消息的实际 chainId”，并补充说类似的问题可能存在于其他协议中.

根据 CoinMarketCap 的数据，受此消息影响，ETHW 代币的价格暴跌约 37%，周一早些时候创下 4.22 美元的新低。它目前的交易价格略高于 5 美元。

ETHPoW 开发人员确认漏洞利用

ETHW 协议背后的开发者证实了这一事件；但是，他们坚称攻击并非源自 ETHW 区块链，仅影响了 Omni 桥，而不是以太坊 PoW 网络本身。

“ETHW 本身已经执行了 EIP-155，并且没有来自 ETHPoS 和对 ETHPoS 的重放攻击，这是 ETHW Core 的安全工程师提前计划好的，”ETHW 团队在一篇博文中说。

开发人员还表示，他们已经联系了 Omni 团队，提醒他们注意该漏洞。

ETHW 区块链开发人员表示：“我们已经通过各种方式联系了网桥，并告知了他们风险，”并补充说，“网桥需要正确验证跨链消息的实际 ChainID。”

什么是 ETHPoW？

ETHPoW 是由一群矿工支持的以太坊硬分叉，他们宣布打算在合并后保留 PoW 链——这是网络切换到 PoS 的常用术语。

该链于上周在合并发生后不久启动，然而，由于网络面临几个技术问题，包括链 ID 问题，它的起步相当坎坷。

值得注意的是，如果 ETHPoW 未能将其网络的链 ID 从以太坊主网的 ID 更改，则重放攻击的可能性在合并前几周被提出。

然而，ETHPoW 创始人 Chandler Guo当时坚持认为这些担忧被夸大了，并告诉 Decrypt，该网络将更改其区块链上的所有链 ID 以防止此类攻击。