Ethereum Merge führt zu verrückten on-chain Grabenkämpfen
Vorneweg: Wenn Sie vor dem Merge am vergangenen Donnerstagmorgen Ethereum gehalten haben, sind Sie jetzt vielleicht ein bisschen reicher, als Sie denken. Denn die Miner, die durch den Ethereum Merge aus dem Netzwerk gedrängt werden sollten, haben einfach für Sie ein Konto eröffnet und Ihnen dieselbe Summe an Ethereum auf dem neuen Netzwerk Ethereum PoW (ETHW) geschrieben.
Werte in diesem Artikel
Nutzer vieler zentraler Börsen bekamen die ETHW vergangene Woche gutgeschrieben, können ETHW jedoch noch nicht überall traden. Nutzer dezentraler Apps wie MetaMask oder WalletConnect können sich selbst davon überzeugen: Versuchen Sie, in der App doch mal ein neues Netzwerk einzufügen. Die ChainID 10001 möchte ihr Freund sein und die Miner haben dort ein ETHW-Geschenk unter Ihrer öffentlichen Adresse hinterlegt.
Ethereum-Nutzer haben durch die Miner dieselbe Menge ETHW erhalten, indem sie die Hauptkette noch vor dem Merge einfach in einen abgetrennten Computerpool überführten. In dieser verwandten, aber neuen Computerhistorie ist die Schwierigkeitsbombe, die das Mining auf der Hauptkette unverhältnismäßig teuer macht, nie geplatzt.
Bitpanda ist der BaFin-lizenzierte Krypto-Broker aus Österreich und offizieller Krypto-Partner des FC Bayern München. Erstellen Sie Ihr Konto mit nur wenigen Klicks und profitieren Sie von 0% Ein- und Auszahlungsgebühren.
Rund 200 Millionen Dollar an ETHW werden aktuell täglich gehandelt. Ohne eine gut geplante Vorbereitung der mächtigen Miner und der Börsenplätze wäre dieser Erfolg nicht denkbar gewesen. ETHW ist allerdings weiter weniger wert als Ethereum (ETH). Zum Wochenauftakt sind die noch nicht überall handelbaren Token auf unter $10 Dollar gefallen. Die Talfahrt von ETHW nahm Anfang der Woche neue Fahrt auf. Grund dafür war ein Exploit, für den offenbar auch andere Blockchains anfällig sein könnten. Im Internet of Value können Nutzer über Token-Brücken wie der Omni Bridge gehen. Und dort gibt es wohl einen teuren Bug, sagt BlockSec.
"Am 16. September 2022 haben wir festgestellt, dass einige Angreifer erfolgreich viele ETHW erbeutet haben, indem sie die Nachricht (d. h. die Calldata) der PoS-Kette auf EthereumPoW (auch bekannt als die PoW-Kette) wiedergegeben haben. Die Hauptursache für die Ausnutzung ist, dass die Omni-Brücke auf der PoW-Kette die alte chainId verwendet und die tatsächliche chainId der kettenübergreifenden Nachricht nicht korrekt verifiziert", berichtet BlockSec und weiter: "Wir haben uns sofort mit dem offiziellen Team von EthereumPoW in Verbindung gesetzt. Das Team war aktiv bereit, Maßnahmen zu ergreifen, und es wurde auch versucht, mit der Omni Bridge zu kommunizieren." Eine erste Warnung wurde dann am Sonntag veröffentlicht.
Ein Loch ist im Eimer! Offensichtlich hat der Angreifer (0x82fae) zunächst 200 WETH über die Omni-Bridge der Gnosis-Kette überwiesen. Dann wurde dieselbe Nachricht auf der ETHW-Kette erneut abgespielt und 200 ETHW zusätzlich erhalten. Auf diese Weise konnte das Guthaben des auf der PoW-Kette eingesetzten Bridge-Vertrags aufgebraucht werden.
Analyse der Schwachstelle von BlocSec zeigt, dass die Omni-Bridge im Prinzip die neue ChainId verifizieren könnte: "Nach einer Analyse des Quellcodes der Omni-Bridge stellen wir fest, dass die Logik zur Verifizierung der chainId existiert."
Kurz gesagt, die Hauptursache für die Ausnutzung ist, dass die Omni-Brücke in der PoW-Kette eine alte chainId verwendet, sodass sie die tatsächliche chainId der kettenübergreifenden Nachricht einfach nicht korrekt überprüft. Der Fehler dürfte auch anderenorts bestehen und ähnliche Probleme auch bei anderen Protokollen auftreten.
Die Angreifer konnten so viele ETHW erbeuten und auch auf einigen Marktplätzen handeln. Dadurch könnte der Preis von ETHW durch den Anstieg der Liquidität weiter fallen. Nutzer sollten beim Handel mit diesen Token auf der PoW-Kette sehr vorsichtig sein. Also immer erst eine kleine Test-Transaktion machen und nicht gleich alles auf einmal verkaufen. Smart Contract-Entwickler müssen reagieren und beim Umgang mit der chainId besondere Aufmerksamkeit walten lassen.
Fazit: Technisch war die Einführung von Proof-of-Stake das bislang größte Update. Allerdings haben sich einige Miner kurz zuvor in ein gallisches Dorf zurückgezogen und betreiben dort weiterhin Proof-of-Work als sei nichts geschehen. Gemeinsam mit den Börsen, die erst den Handel ermöglichen, haben die Gallier auch schon ordentlich Kasse gemacht.
Die Ethereum Foundation feierte den Ethereum Merge am Wochenende als großen Erfolg. Vitalik Buterins Ziel, den weltweiten Energieverbrauch um ganz 0,2% von jetzt auf gleich zu verringern, ist allerdings teilweise ausgehebelt worden. Der Kampf um den richtigen Konsens ist noch lange nicht zuende.
Roman Kessler ist Web3-Entwickler bei der MAKE Europe GmbH in Frankfurt. Im Herzen Europas baut der FinTech-Profi international prämierte Internetanwendungen rund um Bitcoin, Ethereum und den Digitalen Euro.
Weitere News
Bildquellen: MAKE Europe GmbH