Ethereum PoW (ETHW) : un premier hack a eu lieu sur une application du réseau
Après une semaine d’existence, la nouvelle blockchain Ethereum PoW (ETHW) a vu l’une de ses applications subir son premier hack. Le choix de la majorité de l’écosystème de ne se concentrer que sur Ethereum (ETH) pourrait alors amener les applications d’Ethereum PoW à mourir à petit feu.
le 19 septembre 2022 à 17:00.
3 minutes de lecture
Un premier hack survient sur une application d’Ethereum PoW
Suite au Merge d’Ethereum (ETH), une chaîne rémanente nommée Ethereum PoW (ETHW) a subsisté, rassemblant les quelques mineurs souhaitant faire perdurer le consensus par preuve de travail. La majorité de l’écosystème ayant accordé sa confiance à la nouvelle mise à jour d’Ethereum, la viabilité de la version PoW est pour le moins incertaine.
Après quelques jours d’existence, les premiers problèmes ont commencé à apparaître. Si du côté de la blockchain en elle-même, tout semble fonctionner comme il faut, ce n’est pas le cas de toutes les applications, et plus particulièrement d’OmniBridge. Cette plateforme permet de communiquer avec la Gnosis Chain et une erreur dans le smart contract du bridge a permis à l’attaquant d’exécuter des actions à la fois sur la blockchain Ethereum ainsi que sur la version PoW.
Cela viendrait du fait qu’OmniBridge utilise la Chain ID d’Ethereum en lieu et place de celle d’Ethereum PoW sur la chaîne proof-of-work. Pour faire simple, une Chain ID peut-être vue comme le numéro d’identité d’une blockchain. Ce dysfonctionnement a permis à l’attaquant de vider les ETHW sur le smart contract d’OmniBridge d’Ethereum PoW.
? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Le déroulement de l’exploitation de la faille
Ce hack a été mis en lumière par les équipes BlockSec :
1/ Alert | BlockSec detected that exploiters are replaying the message (calldata) of the PoS chain on @EthereumPow. The root cause of the exploitation is that the bridge doesn't correctly verify the actual chainid (which is maintained by itself) of the cross-chain message.
— BlockSec (@BlockSecTeam) September 18, 2022
L’attaquant a, dans un premier temps, déposé des ETH dans le smart contract d’OmniBridge sur la blockchain Ethereum. Il les a ensuite retirés. En parallèle, le problème de Chain ID sur OmniBridge d’Ethereum PoW a permis à l’attaquant d’utiliser une commande, pour recevoir une quantité équivalente ETHW sur ce réseau.
Normalement, une série de mises à jour sur Ethereum, que l’on appelle Ethereum Improvement Proposal (EIP), auraient dû empêcher ce type d’attaque. Mais le code d’OmniBridge utiliserait une vieille version du langage Solidity. Le hard fork ayant conduit à la naissance d’Ethereum PoW aurait ainsi permis à ces failles de se révéler.
Le butin de l’opération n’est pas conséquent en soi, l’analyse des transactions de l’attaquant montre qu’il a renvoyé 741 ETHW sur la plateforme d’échanges MEXC. Cela porte le montant, au moment des faits, à une valeur de 8 à 10 000 dollars tout au plus.
Mais notons malgré tout qu’il est probable que des problèmes similaires soient présents sur d’autres applications et permettraient alors à d’autres attaquants de récupérer des ETHW, pour aller les vendre sur des plateformes centralisées.
Interagir avec Ethereum PoW
Pour les personnes ayant eu des ETH sur le réseau Ethereum au moment du Merge, elles ont perçu une quantité équivalente d’ETHW sur Ethereum PoW. Les équipes du nouveau réseau ont indiqué les informations à renseigner pour configurer son wallet, pour utiliser celui-ci :
ETHW Mainnet Info
Network Name: ETHW-mainnet
New RPC URL: https://t.co/MQ04pnPQyW
Chain ID: 10001
Currency Symbol: ETHW
Block Explorer URL(Optional): https://t.co/J3JllmQA8I— EthereumPoW (ETHW) Official (@EthereumPoW) September 15, 2022
Selon CoinGecko, les plateformes suivantes ont déjà listé ETHW :
- OKX ;
- Digifinex ;
- FTX ;
- Bitfinex ;
- MEXC Global.
Rappelons toutefois qu’il conviendra de rester vigilant quant aux tentatives d’arnaques à cette occasion.
? Dans l’actualité également – Ethereum chute de plus de 10 % sur les dernières 24 h et passe sous les 1 300 $
Acheter des cryptos sur eToroSource : BlockSec
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital
Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.
Vincent Maire
1507 articles
