9月19日消息,Beosin安全团队发现,在以太坊合并并分叉出ETHW后,Gnosis Omni Bridge跨链桥项目,由于合约代码中固定写死了chainID,而未真正验证当前所在链的chainID,导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在ETH主网上通过omni Bridge转移WETH,随后将相同的交易内容在ETHW链上进行了重放,获取了等额的ETHW。目前攻击者已经转移了741 ETHW到交易所。

Beosin安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。

此前昨日消息,因特定合约缺陷,EthereumPow跨链桥遭攻击损失200 ETHW。攻击者首先通过Gnosis链的Omni Bridge转移了200 WETH,然后在PoW链上重放了相同的消息,获得了额外的200 ETHW。

发表回复

您的电子邮箱地址不会被公开。