La vente de jetons ETHPoW pourrait entraîner la perte d’ETH du Mainnet si le ChainID d’ETHPoW n’est pas mis à jour comme prévu
Avertissement : Il existe un risque d’attaques de relais sur les portefeuilles des utilisateurs individuels si le ChainID d’ETHPoW n’est pas mis à jour comme prévu. De telles attaques feront perdre aux utilisateurs des $ETH équivalents aux ETHPoW vendus.
Les préoccupations récentes concernant The Merge ont été exacerbées après avoir découvert que la chaîne Ethereum proof-of-work n’avait pas mis à jour son ChainID pour obtenir un numéro unique. L’équipe à l’origine d’ETHPoW a mis à jour son GitHub vendredi matin pour indiquer qu’elle utiliserait le ChainID « 10001 » après la fusion.
Cependant, l’équipe a affirmé que le ChainID resterait à ‘1’ (le même que celui du Mainnet d’Ethereum) jusqu’au jour de la Fusion, en réponse à Coinbase qui demandait qu’il soit mis à jour.
« Le code que vous avez mentionné dans les commentaires ci-dessus doit être conservé car le chainID 1 est nécessaire pour valider les données de la chaîne pour les blocs avant la fusion, et toutes les données de la chaîne après la fusion seront chainID 10001. «
Si ETHPoW conserve le même ChainID et le même nonce que Mainnet, les utilisateurs risquent de perdre des fonds lorsqu’ils essaient d’échanger les jetons ETHPoW qu’ils pourraient recevoir.
CryptoSlate s’est entretenu avec Temoc Webber et Igor Mandrigin, respectivement CEO et CTO de Gateway.fm, sur le potentiel d’attaques de relais à travers la chaîne ETHPoW. Gateway.fm est une société d’infrastructure web3 qui se concentre sur la construction de solutions RPC décentralisées qui ne dépendent pas de services centralisés tels que AWS.
Au cours de la conversation, Mandrigin a déclaré qu’il n’y avait « aucune raison » pour l’équipe ETHPoW de ne pas mettre à jour le code avant la fusion. « Ils pourraient le bifurquer aujourd’hui », a-t-il affirmé avant de suggérer une solution simple :
« Vous pourriez simplement ajouter un code permettant à ETHPoW d’utiliser ChainID jusqu’à ce que le TTD de la fusion soit atteint, puis de revenir automatiquement à un ChainID de ‘10001’. «
L’ajout de quelques lignes de code simples permettrait à la communauté Ethereum de se détendre, sachant qu’ETHPoW ne se prépare pas à créer le chaos sur le Mainnet après la fusion. Cependant, le contraire semble se confirmer puisqu’un développeur Ethereum de base, Lefteris Karapetsas, a été bloqué par le compte Twitter d’EthereumPoW après avoir souligné les problèmes liés au fait de ne pas changer le ChainID en temps voulu.
Signaler que ETHPoW est incompétent et va faire perdre des fonds aux gens vous fait bloquer.
Tout ce que vous devez savoir sur cette chaîne. Utilisez-les à vos risques et périls. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
– Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) September 9, 2022
Si le ChainID et le nonce d’ETHPoW ne sont pas mis à jour, alors toutes les transactions qui ont lieu sur la chaîne ETHPoW pourraient être répliquées sur le Mainnet. Voici un exemple de la façon dont cela pourrait être exploité.
- Un acteur malveillant met en place un contrat intelligent proxy vide et évolutif sur Ethereum Mainnet avant la fusion.
- Après la fusion, l’acteur malveillant met à niveau le contrat intelligent ETHPoW pour permettre aux utilisateurs de vendre leurs ETHPoW à une prime de 500 $ par ETHPoW.
- Sur le réseau principal d’Ethereum, l’acteur malveillant met à jour le contrat intelligent pour envoyer tous les ETH qu’il reçoit à Tornado Cash.
- Le contrat intelligent ETHPoW est commercialisé comme le meilleur DEX pour échanger des ETHPoW, et les utilisateurs vendent leurs ETHPoW en USDT pour 500 $ par ETHPoW.
Les utilisateurs vendent leurs ETHPoW contre des USDT pour 500 $ par ETHPoW. Le commerce se fait également sur le réseau principal d’Ethereum, étant donné que les mêmes ChainID, nonce et clés privées sont identiques. Cependant, le contrat Mainnet a été mis à jour pour envoyer l’ETH à Tornado Cash et ne pas retourner d’USDT. - L’utilisateur a maintenant USDT sur ETHPoW et rien dans son portefeuille Mainnet. Étant donné que USDT ne prend pas en charge ETHPoW, l’utilisateur a essentiellement été dépouillé de son ETHPoW et de son ETH.
Un mot d’avertissement pour tous ceux qui prévoient de jeter les jetons ETHPoW qu’ils recevront après la fusion.
Vérifiez si le ChainID d’ETHPoW a été mis à jour avant d’effectuer une transaction. Le ChainID ne doit PAS être ‘1’ mais ‘10001’. Si le ChainID est ‘1’, vous risquez de perdre les fonds de votre portefeuille Ethereum du Mainnet
