La venta de tokens ETHPoW podría llevar a perder ETH de la Mainnet si el ChainID de ETHPoW no se actualiza según lo previsto
Atención: Existe el riesgo de que se produzcan ataques de retransmisión en las carteras de los usuarios individuales si el ChainID de ETHPoW no se actualiza según lo previsto. Tales ataques harán que los usuarios pierdan $ETH equivalentes a los ETHPoW vendidos.
Las recientes preocupaciones sobre The Merge se exacerbaron tras descubrir que la cadena de prueba de trabajo de Ethereum no había actualizado su ChainID a un número único. El equipo detrás de ETHPoW actualizó su GitHub el viernes por la mañana para afirmar que utilizaría el ChainID ‘10001’ después de la Merge.
Sin embargo, el equipo afirmó que el ChainID se mantendría en ‘1’ (el mismo que el de la Mainnet de Ethereum) hasta el día de la Fusión en respuesta a la solicitud de Coinbase de que se actualizara.
«El código que mencionas en los comentarios anteriores tiene que mantenerse porque el chainID 1 es necesario para validar los datos de la cadena para los bloques antes de la fusión, y todos los datos de la cadena después de la fusión serán chainID 10001. «
Si ETHPoW mantiene el mismo ChainID y nonce que Mainnet, los usuarios podrían arriesgarse a perder fondos cuando intenten comerciar con los tokens ETHPoW que puedan recibir.
CryptoSlate habló con Temoc Webber e Igor Mandrigin, CEO y CTO de Gateway.fm respectivamente, sobre el potencial de los ataques de retransmisión a través de la cadena ETHPoW. Gateway.fm es una empresa de infraestructura web3 centrada en la construcción de soluciones RPC descentralizadas que no dependen de servicios centralizados como AWS.
Durante la conversación, Mandrigin afirmó que no hay «ninguna razón» para que el equipo de ETHPoW no actualice el código antes de The Merge. «Podrían bifurcarlo hoy mismo», afirmó antes de sugerir una solución sencilla:
«Podrían simplemente añadir algún código que permitiera a ETHPoW utilizar ChainID hasta que se alcanzara el TTD de The Merge y luego volver automáticamente a un ChainID de ‘10001’. «
Añadir unas simples líneas de código permitiría a la comunidad de Ethereum relajarse, sabiendo que ETHPoW no se está preparando para crear el caos en Mainnet tras la fusión. Sin embargo, parece confirmarse lo contrario, ya que un desarrollador del núcleo de Ethereum, Lefteris Karapetsas, fue bloqueado por la cuenta de Twitter de EthereumPoW después de señalar los problemas de no cambiar el ChainID a tiempo.
Señalar que ETHPoW son incompetentes y harán que la gente pierda fondos hace que te bloqueen.
Todo lo que necesitas saber sobre esa cadena. Utilízalos bajo tu responsabilidad. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
– Lefteris Karapetsas | Contratando para @rotkiapp (@LefterisJP) September 9, 2022
Si el ChainID y el nonce de ETHPoW no se actualizan, cualquier operación que se produzca en la cadena ETHPoW podría replicarse en Mainnet. Este es un ejemplo de cómo se podría explotar esto.
- Un actor malicioso establece un contrato inteligente proxy actualizable vacío en Ethereum Mainnet antes de la fusión.
- Después de La Fusión, el actor malicioso actualiza el contrato inteligente ETHPoW para permitir a los usuarios vender sus ETHPoW con una prima de 500 dólares por ETHPoW.
En la red principal de Ethereum, el actor malicioso actualiza el contrato inteligente para enviar cualquier ETH que reciba a Tornado Cash. - El contrato inteligente ETHPoW se comercializa como el mejor DEX para negociar ETHPoW, y los usuarios venden sus ETHPoW por USDT a 500 dólares por ETHPoW.
- El comercio también se lleva a cabo en la Mainnet de Ethereum, dado que el mismo ChainID, nonce y claves privadas son idénticos. Sin embargo, el contrato de Mainnet se ha actualizado para enviar el ETH a Tornado Cash y no devolver ningún USDT.
- El usuario tiene ahora USDT en ETHPoW y nada en su cartera de Mainnet. Dado que USDT no soporta ETHPoW, el usuario ha sido esencialmente robado de su ETHPoW y ETH.
Una palabra de advertencia para cualquiera que esté planeando deshacerse de cualquier token ETHPoW que reciba después de La Fusión.
Preste atención a si el ChainID de ETHPoW se ha actualizado antes de realizar la transacción. El ChainID NO debe ser ‘1’ sino ‘10001’. Si el ChainID es ‘1’, se arriesga a perder los fondos de su cartera de Ethereum de la Mainnet.
