BlockSec a lancé une alerte le 18 septembre dernier, relative à une attaque par rejeu, effectuée à l’aide des jetons ETHPoW. L’attaquant aurait réussi à obtenir 200 jetons ETHW supplémentaires, après avoir transféré 200 ETH enveloppés (WETH) via un pont de la chaîne Gnosis.
L’annonce de cette transaction frauduleuse a engendré l’effondrement de l’ETHPoW. Le jeton a chuté de 40%, ramenant le prix du token à 4,97 $.
La blockchain Ethereum proof-of-work, victime d’une attaque par rejeu
Quelques jours seulement après la nouvelle mise à jour réussie, The Merge, Ethereum a subi une attaque. Cette attaque ne concerne pas la chaîne phare (Beacon-chain).
Elle concerne plutôt le réseau principal (Mainnet), qui lui, continue de fonctionner avec la méthode de consensus, Proof-of-Work (PoW).
Il s’agit d’une attaque par rejeu. Une attaque par rejeu, (ou replay attack) est une forme d‘attaque réseau dans laquelle, une transmission est malicieusement ou frauduleusement répétée par une tierce partie interceptant les paquets sur la ligne.
Le responsable de l’attaque révélée par l’entreprise de cybersécurité BlockSec, a pu obtenir 200 jetons ETHW supplémentaires, après avoir rejoué consciemment, un message de la chaîne Proof-of-Stake (PoS) sur ETHPoW.
“L’exploitant (0x82fae) a d’abord transféré 200 WETH via le pont omni de la chaîne Gnosis, puis a rejoué le même message sur la chaîne PoW et a obtenu 200 ETHW supplémentaires”, a déclaré la société de sécurité BlockSec sur Twitter.
Cette dernière affirme, que l’attaque s’est produite parce que le pont n’a pas correctement vérifié l’identité de la chaîne qui a émis le message inter-chaînes.
La réaction de l’équipe des développeurs de la blockchain Ethereum proof-of-work
L’équipe de développeurs de la blockchain ETHPoW a déclaré que l’auteur de l’attaque a exploité la vulnérabilité du contrat du pont, et non leur blockchain elle-même.
“ETHW elle-même a appliqué la norme EIP-155, et il n’y a pas eu d’attaque par rejeu depuis ETHPoS et vers ETHPoS, ce que les ingénieurs en sécurité d’ETHW Core ont prévu à l’avance”, ont écrit les développeurs d’ETHW Core dans un post Medium.
L’équipe de développeurs a également déclaré, qu’elle avait essayé d’entrer en contact avec Omni Bridge depuis samedi sans succès. Les développeurs souhaitaient informer Omni Bridge des risques encourus.
Malheureusement, Omni Bridge n’a pas immédiatement répondu à une demande de commentaire. C’est certainement ce qui a donné du temps au hacker d’aller au bout de sa besogne.
“Nous avons contacté le pont de toutes les manières possibles et les avons informés des risques”, a-t-il déclaré. “Les ponts doivent vérifier correctement l’identifiant de la chaîne réel des messages inter-chaînes”, ont-ils ajouté.
Le fork ETHPoW sur la blockchain Ethereum proof-of-work a été mis en ligne cette semaine, après le déploiement de The Merge, une mise à jour historique. Cette mise à niveau de la blockchain Ethereum a permis la fusion entre les méthodes de consensus, Proof-of-Work (PoS) et Proof-of-Stake (PoW).
Après l’annonce de l’attaque par rejeu dimanche matin, le jeton a chuté de 40 %, selon les données fournies par TradingView. Cette baisse du cours de l’ETHPoW, constitue une excellente occasion pour se réapprovisionner.
Au lieu de se tenir à l’écart, c’est le moment d’acheter massivement l’ETHPoW. Ce token profitera sans doute, du pump de l’Ethereum. Le prix de l’ETH ne tient pas encore compte de la mise à jour. L’actif est sous coté actuellement.
Nous avons aussi :
- La Maison Blanche publie un cadre réglementaire pour les actifs numériques
- Le co-fondateur de Rockstar, Dan Houser, investit dans un studio de jeux blockchain
- Le portefeuille de Bitcoin du Salvador affiche un solde négatif