Продажа токенов ETHPoW может привести к потере ETH Mainnet, если ChainID ETHPoW не будет обновлен в соответствии с планом
Предупреждение: Существует риск ретрансляционных атак на кошельки отдельных пользователей, если ChainID ETHPoW не будет обновлен в соответствии с планом. В результате таких атак пользователи потеряют $ETH, эквивалентные проданным ETHPoW.
Недавние опасения по поводу The Merge усугубились после того, как выяснилось, что цепочка Ethereum proof-of-work не обновила свой ChainID до уникального номера. Команда, стоящая за ETHPoW, в пятницу утром обновила свой GitHub и заявила, что после слияния будет использовать ChainID «10001».
Однако команда утверждала, что ChainID останется на уровне «1» (как у Ethereum Mainnet) до дня слияния в ответ на просьбу Coinbase обновить его.
«Код, который вы упомянули в комментариях выше, нужно сохранить, потому что chainID 1 необходим для проверки данных цепочки для блоков до слияния, а все данные цепочки после слияния будут иметь chainID 10001. «
Если ETHPoW сохранит тот же ChainID и nonce, что и Mainnet, пользователи могут потерять средства при попытке обменять полученные токены ETHPoW.
CryptoSlate поговорил с Темоком Веббером и Игорем Мандригиным, генеральным директором и техническим директором Gateway.fm соответственно, о возможности ретрансляционных атак через цепочку ETHPoW. Gateway.fm — компания, специализирующаяся на инфраструктуре web3, которая занимается созданием децентрализованных RPC-решений, не зависящих от централизованных сервисов, таких как AWS.
В ходе беседы Мандригин заявил, что у команды ETHPoW «нет причин» не обновлять код до слияния. «Они могли бы форкнуть его сегодня», — заявил он, прежде чем предложить простое решение:
«Вы можете просто добавить код, который позволит ETHPoW использовать ChainID до достижения TTD слияния, а затем автоматически вернуться к ChainID ‘10001. «
Добавление нескольких простых строк кода позволило бы сообществу Ethereum расслабиться, зная, что ETHPoW не готовится создать хаос в Mainnet после слияния. Однако, похоже, подтверждается обратное, поскольку основной разработчик Ethereum, Лефтерис Карапетсас, был заблокирован в Twitter-аккаунте EthereumPoW после того, как указал на проблемы, связанные с несвоевременным изменением ChainID.
Указывая на то, что ETHPoW некомпетентны и приведут к потере средств, вы будете заблокированы.
Это все, что вам нужно знать об этой цепочке. Используйте их на свой страх и риск. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) September 9, 2022
Если ChainID и nonce ETHPoW не обновляются, то любые сделки, происходящие на цепочке ETHPoW, могут быть реплицированы в Mainnet. Вот пример того, как это может быть использовано.
- Вредоносный агент устанавливает пустой обновляемый прокси смарт-контракт в Ethereum Mainnet перед слиянием.
- После слияния злоумышленник обновляет смарт-контракт ETHPoW, чтобы позволить пользователям продавать свои ETHPoW с премией $500 за ETHPoW.
- В Ethereum Mainnet злоумышленник модернизирует смарт-контракт, чтобы отправить все полученные ETH в Tornado Cash.
- Смарт-контракт ETHPoW рекламируется как лучший DEX для торговли ETHPoW, и пользователи продают свои ETHPoW за USDT по цене $500 за ETHPoW.
- Эта сделка также проходит в сети Ethereum Mainnet, учитывая, что идентификатор цепи, nonce и приватные ключи идентичны. Однако контракт Mainnet был обновлен, чтобы отправить ETH в Tornado Cash и не возвращать USDT.
- Теперь у пользователя есть USDT на ETHPoW и ничего в кошельке Mainnet. Учитывая, что USDT не поддерживает ETHPoW, пользователь, по сути, лишился своих ETHPoW и ETH.
Слово предупреждения для тех, кто планирует выбросить любые токены ETHPoW, которые они получат после слияния.
Обратите внимание на то, был ли обновлен ChainID ETHPoW, прежде чем совершать транзакции. ChainID должен быть НЕ «1», а «10001». Если ChainID равен ‘1’, вы рискуете потерять средства с вашего Ethereum-кошелька Mainnet.
