Ethereum PoW fork ได้เริ่มต้นอย่างแข็งแกร่งในช่วงเริ่มต้นการอัปเกรด The Merge อย่างไรก็ตามหนึ่งใน smart contract ของเครือข่ายได้ประสบปัญหาการแฮกครั้งแรกซึ่งส่งผลให้ราคาตกต่ำอย่างรุนแรง
ETHPoW (ETHW) ซึ่งเป็น Ethereum fork ที่ยังคงใช้งานกลไกฉันทามติแบบ Proof-of-Work ได้ถูกแฮก smart contract ครั้งแรกนับตั้งแต่การอัปเกรด The Merge สิ้นสุดลงเมื่อปลายสัปดาห์ที่แล้ว
BlockSec บริษัทด้านความปลอดภัยของบล็อกเชนได้แจ้งเตือนผู้ใช้ครั้งแรกถึงสิ่งที่เรียกว่า “replay attack” ในวันอาทิตย์ ซึ่งใช้ประโยชน์จากธุรกรรมที่ถูกต้องตามกฎหมายบนบล็อกเชน Ethereum แบบ Proof-of-stake (PoS) ควบคู่ไปกับ Gnosis แอปพลิเคชัน DeFi และส่วนขยาย OmniBridge
การโจมตีซ้ำ (replay attack) และการใช้ประโยชน์สามารถเกิดขึ้นได้เมื่อ warpped ethereum (WETH) และ ETHW ถือเป็นสินทรัพย์เดียวกัน แม้ว่าในทางเทคนิคแล้วจะมีอยู่บนบล็อกเชนที่แยกจากกันโดยสิ้นเชิงก็ตาม
Ethereum ได้เปลี่ยนรูปแบบกลไกฉันทามติจาก Proof-of-Work สู่ Proof-of-Stake ด้วยการ hard fork เมื่อวันพฤหัสบดีที่แล้ว โดยผู้ ขุด crypto ได้ถูกทิ้งอย่างเป็นทางการเพื่อสนับสนุน Validator ในเครือข่ายเพื่อสิทธิ์ในการประมวลผลธุรกรรมแทน
BlockSec ได้ออกมาเปิดเผยว่าการโจมตีครั้งนี้ไม่ใช่การใช้ประโยชน์จาก replay attack ในระดับ chain แต่เกิดจากช่องโหว่ของ smart contract ซึ่งหมายความว่าทั้งเครือข่าย Gnosis หรือ Ethereum และ ETHW ไม่ถูกแฮ็ก ในทางกลับกันสัญญาอัจฉริยะของ OmniBridge บน PoW fork กลับจ่ายเงินออกไปอย่างไม่ถูกต้อง
อย่างแรกแฮกเกอร์ได้โอน 200 WETH ซึ่งขณะนั้นมีมูลค่า 260,000 ดอลลาร์ผ่านโปรโตคอล OmniBridge ของ Ethereum blockchain ไปยังเครือข่าย Gnosis ก่อนที่แฮกเกอร์จะ replay attack โดยการเล่นซ้ำข้อความธุรกรรมเดียวกันบน Ethereum PoW fork เพื่อรับ 200 ETHW จาก smart contract ของ OmniBridge
ตลาด ETHW มีมูลค่าลดลงทันทีประมาณ 40% หลังจากมีข่าวแฮกเกอร์หลุดออกสู่สาธารณะจาก 8 ดอลลาร์เหลือเพียง 5 ดลอลาร์เท่านั้น ทั้งนี้ไม่ชัดเจนว่าแฮกเกอร์ได้ขาย 200 ETHW ที่ถูกขโมยไปหรือยัง ซึ่งหากแฮกเกอร์ยังไม่ขายตอนนี้จะมีมูลค่าเพียง 1,000 ดอลลาร์เท่านั้น
การโจมตีเกิดขึ้นได้เนื่องจาก OmniBridge บนเครือข่าย PoW ยังคงยอมรับธุรกรรมที่อ้างอิงถึง “chainID” ของบล็อกเชน Ethereum ซึ่งเป็นตัวแปรที่ทำหน้าที่เป็นตัวระบุเฉพาะสำหรับเครือข่ายบล็อกเชนต่าง ๆ โดย PoW fork ใช้ chainID ที่แตกต่างกันเพื่อช่วยแยกการดำเนินการระหว่างสองเครือข่าย
ทั้งนี้ Martin Koppelmann ผู้ร่วมก่อตั้ง Gnosis ทวีตในภายหลังว่าทั้ง Gnosis และ Ethereum นั้น “ไม่ได้รับผลกระทบ”
ช่องโหว่ด้านความปลอดภัยนี้จะถูกส่งต่อไปยังทีมกำกับดูแลที่ดูแล OmniBridge พร้อมเตือนว่าเหตุการณ์ที่คล้ายกันอาจเกิดขึ้นในเครือข่าย ETHW อีกเป็นครั้งที่สอง
อย่างไรก็ตาม ETHW Core ของ ETHW ยืนยันเมื่อวันอาทิตย์ว่าการโจมตีเกี่ยวข้องกับช่องโหว่ของ smart contract และได้แจ้ง OmniBridge ทุกวิถีทางเพื่อแจ้งให้ทราบถึงความเสี่ยง แต่ปัจจุบันยังไม่ได้รับการตอบกลับ