شرکت امنیت سایبری BlockSec در گزارش جدیدی یک حملۀ بازپخش (Replay) را در شبکۀ اثبات کار (PoW) اتریوم شناسایی کرد. فرد مهاجم با اجرای مجدد یک پیام در بلاکچین ETHPoW موفق به دریافت ۲۰۰ عدد توکن اضافۀ ETHW شد.
BlockSec در رشته توئیتی نوشت:
«هکر ابتدا ۲۰۰ عدد توکن WETH را از پل Omni و زنجیرۀ Gnosis انتقال داد و سپس پیام را مجدد بر زنجیرۀ PoW بازنشر و ۲۰۰ عدد توکن ETHW دیگر دریافت کرد. این حمله به دلیل عدم تایید صحیح شناسۀ پیام رخ داده است».
توسعهدهندگان ETHPoW مدعی شدند که این حملۀ بازپخش از حفرۀ امنیتی موجود در پُل (bridge) سواستفاده کرده و امنیت بلاکچین همچنان پابرجا است.
توسعهدهندگان هستۀ ETHW با انتشار مطلبی در سایت Medium اظهار داشتند:
«بلاکچین ETHW توانسته است به شکلی خودکار طرح بهبود شبکۀ EIP-155 را اجرا کرده و ریسک حملۀ بازپخش را برطرف کند. این یکی از تدابیر پیش فرض مهندسان امنیتی ETHW بوده است».
این تیم خاطرنشان کرد که از روز شنبه درحال تماس با پُل Omni بوده تا آنها از ریسک موجود مطلع سازند. با اینحال تیم Omni تاکنون به تماسهای برقرار شده پاسخی نداده است. در بیانیۀ رسمی آنها آمده است:
«ما تلاش کردهایم تا از تمام مسیرهای موجود با Omni تماس گرفته و آنها را از ریسک موجود مطلع سازیم. پُلها باید به شکلی صحیح ChainID واقعی پیامهای بینزنجیرهای را تایید کنند».
پس از اجرای موفقیتآمیز مرج در هفتۀ پیش هارد فورکهای اثبات کار ETHPoW اتریوم فعالیت خود را آغاز کرد. با انتشار اخبار مربوط به این نقص امنیتی، ارزش توکن ETHW بیش از ۳۵ درصد کاهش یافته است.
حملهٔ بازپخش یا تکرار نوعی حملۀ تحت شبکه است که در آن دادههای متعبر برای سواستفادههای مالی یا امنیتی تکرار شده یا با تاخیر منتقل میشوند.
پیشنهاد مطالعه: انواع کلاهبرداریهای مرتبط با اتریوم ۲.۰
