ETHW重放攻击

原文发布在 https://github.com/33357/smartcontract-apps 这是一个面向中文社区,分析市面上智能合约应用的架构与实现的仓库。欢迎关注开源知识项目!

ETHW重放攻击

事件概要

2022 年 9 月 18 日,跨链桥 omni Bridge 在 ETHW 上的合约受到重放攻击,被黑客拿走了 200 个 ETHW(当时价值约为2000 U)。ETHW 官方表示问题出在合约没有验证 chainId,导致交易被重放,不是 ETHW 链的问题。

事件分析

经过研究,发现如果 omni Bridge 将 WETH 从 ETH 主网跨到 BSC,再从 BSC 跨到 ETH 主网的过程中,第二步从 ETH 主网提取 WETH 的交易是可以在 ETHW 链上重放的。这是因为 omni Bridge 使用签名来允许用户提取代币,而在签名中并没有对 chainId 进行验证。因为 ETHW 链是对 ETH 主网的一个 copy,所以相同的签名可以在相同的合约里提取相同的代币。

事件总结

其实这很难说是一次攻击。因为 omni Bridge 官方并没有想要支持并维护 ETHW 链上的合约,这些资产本来就是无主的。ETHW 没有征询意见就擅自 copy 了别人的数据并上线,这才导致了设计之外的 BUG。ETHW 官方没有锁定这些无主合约里的资产,这才是黑客猖獗的根本原因。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值