Foto: PR Image Factory/Shutterstock
Gratis geld groeit niet aan bomen, toch? Nee, maar soms wel in de blockchain-wereld. De cryptocurrency-industrie zit bomvol met risico’s, maar soms stelt een softwareprobleempje je in staat om coins bijna letterlijk uit het niet te verzamelen. Dat blijkt te kunnen op een ‘bridge’ naar de nieuwe Ethereum (ETH) fork ETHPoW.
Gratis geld met ETHW-bridge
Dat schreef beveiligingsanalist BlockSec afgelopen zondag op Twitter. Een aanvaller wist een zogenaamde replay exploit uit te voeren, waarmee het 200 extra ETHW-coins (de nieuwe token) wist te minten. Hiervoor gebruikte de hacker Omni Bridge, een brug naar de Gnosis-blockchain.
Hij verstuurde 200 wrapped ETH (WETH) naar de bridge, en deed vervolgens hetzelfde op de ETHPoW-chain (de nieuwe Proof-of-Work-fork van Ethereum). Dit leidde ertoe dat de aanvaller 200 extra ETHW-tokens van de bridge af kon halen zonder dat deze van hem waren.
Simpel is de situatie niet uit te leggen. Eén reagerende Twitteraar legt het uitstekend uit. Doordat je transacties op de bridge per ongeluk kan herhalen kun je doen alsof een transactie nog niet is gebeurd. De aanvaller liet de bridge denken dat het om dezelfde transactie ging door de digitale handtekening van de transactie gelijk te maken.
Het mag benadrukt worden dat het ging om ETHW-coins die inmiddels niet zoveel meer waard zijn. Maar de aanval had ook op de bridge naar het Ethereum-mainnet kunnen plaatsvinden. Dan was het veel meer geld geweest. De ETHPoW-ontwikkelaars hebben de aanval inmiddels bevestigd en Omni Bridge hierover ingelicht. Of het probleem al is opgelost is niet duidelijk.
3/ The exploiter (0x82fae) first transferred 200 WETH through the omni bridge of the Gnosis chain, and then replayed the same message on the PoW chain and got extra 200 ETHW. As a result, the balance of the chain contract deployed on the PoW chain would be drained.
— BlockSec (@BlockSecTeam) September 18, 2022
Bitvavo giveaway
Bitvavo gaat een aantal van onze lezers verrassen met kaarten voor de Nations league wedstrijd Nederland – België op zondag 25 september! Niet alleen worden er kaarten weggegeven, ook zullen er andere Oranje prijzen worden verloot onder trouwe lezers.
Zie jij het bijwonen van de wedstrijd Nederland – België op andermans kosten wel zitten, meld je dan hieronder aan met je eigen naam en je e-mailadres. Met een beetje geluk zit jij dan over iets meer dan twee weken in het stadion!
Heb je een account bij Bitvavo? Geef dan dit e-mailadres op
Wees er wel snel bij, want met de winnaars wordt op woensdag 21 september contact opgenomen!
Recordaantal crypto hacks in 2022
Zo zie je maar weer: hacken is een hele efficiënte investering. In dit geval heeft de aanvaller door heel erg slim te zijn in weinig tijd zijn ‘investering’ verdubbeld. Aardig of verantwoord is het natuurlijk niet.
Gelukkig stelt blockchain-technologie wetshandhavers goed in staat om dit soort criminaliteit na te trekken, waardoor boeven regelmatig gepakt worden. Eerder dit jaar ging het crypto nieuws dat we nu al een recordaantal aan hacks zijn waargenomen in de crypto-industrie, terwijl het jaar nog niet eens voorbij is.
