Il trading di token ETHPoW potrebbe esporre gli utenti al rischio di perdere Mainnet $ETH

Avvertenza: esiste il rischio di attacchi di inoltro ai portafogli dei singoli utenti se ETHPoW ChainID non viene aggiornato come pianificato. Tali attacchi faranno perdere agli utenti $ ETH equivalenti all'ETHPoW venduto.

Le recenti preoccupazioni su The Merge sono state esacerbate dopo aver scoperto che la catena di prove di lavoro di Ethereum non aveva aggiornato il suo ChainID a un numero univoco. Il team dietro ETHPoW ha aggiornato il suo GitHub venerdì mattina per affermare che avrebbe utilizzato il ChainID "10001" dopo la fusione.

Tuttavia, il team ha affermato che il ChainID sarebbe rimasto a "1" (lo stesso di Ethereum Mainnet) fino al giorno di The Merge in risposta alla richiesta di aggiornamento di Coinbase.

"Il codice che hai menzionato nei commenti sopra deve essere mantenuto perché chainID 1 è necessario per convalidare i dati della catena per i blocchi prima dell'unione e tutti i dati della catena dopo l'unione saranno chainID 10001."

Se ETHPoW conserva lo stesso ChainID e nonce di Mainnet, gli utenti potrebbero rischiare di perdere fondi quando tentano di scambiare qualsiasi token ETHPoW che potrebbero ricevere.

CryptoSlate ha parlato con Temoc Webber e Igor Mandrigin, CEO e CTO di Gateway.fm rispettivamente sul potenziale di attacchi a inoltro attraverso la catena ETHPoW. Gateway.fm è una società di infrastrutture web3 focalizzata sulla creazione di soluzioni RPC decentralizzate che non si basano su servizi centralizzati come AWS.

Durante la conversazione, Mandrigin ha affermato che "non c'è motivo" per il team ETHPoW di non aggiornare il codice prima di The Merge. "Potrebbero farlo oggi", ha affermato prima di suggerire una soluzione semplice:

"Potresti semplicemente aggiungere del codice che consenta a ETHPoW di utilizzare ChainID fino al raggiungimento del TTD di The Merge e quindi ripristinare automaticamente un ChainID di '10001'".

L'aggiunta di alcune semplici righe di codice consentirebbe alla comunità di Ethereum di rilassarsi, sapendo che ETHPoW non si sta preparando a creare caos su Mainnet dopo l'unione. Tuttavia, sembra essere confermato il contrario in quanto uno sviluppatore principale di Ethereum, Lefteris Karapetsas, è stato bloccato dall'account Twitter di EthereumPoW dopo aver sottolineato i problemi relativi alla mancata modifica del ChainID in tempo utile.

Sottolineare che ETHPoW è incompetente e farà perdere fondi alle persone ti blocca.

Tutto quello che devi sapere su quella catena. Usali a tuo rischio e pericolo. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y

— Lefteris Karapetsas | Assunzione per @rotkiapp (@LefterisJP) 9 settembre 2022

Se il ChainID e il nonce di ETHPoW non vengono aggiornati, tutti gli scambi che si verificano sulla catena ETHPoW potrebbero essere replicati su Mainnet. Ecco un esempio di come questo potrebbe essere sfruttato.

1. Un attore malintenzionato imposta uno smart contract proxy aggiornabile vuoto su Ethereum Mainnet prima di The Merge.
2. Dopo The Merge, l'attore malintenzionato aggiorna il contratto intelligente ETHPoW per consentire agli utenti di vendere il proprio ETHPoW a un premio di $ 500 per ETHPoW.
3. Su Ethereum Mainnet, l'attore malintenzionato aggiorna lo smart contract per inviare qualsiasi ETH che riceve a Tornado Cash.
4. Lo smart contract ETHPoW è commercializzato come il miglior DEX per scambiare ETHPoW e gli utenti vendono il loro ETHPoW per USDT per $ 500 per ETHPoW.
5. Lo scambio avviene anche su Ethereum Mainnet, dato che lo stesso ChainID, nonce e le chiavi private sono identiche. Tuttavia, il contratto Mainnet è stato aggiornato per inviare l'ETH a Tornado Cash e non restituire alcun USDT.
6. L'utente ora ha USDT su ETHPoW e niente nel suo portafoglio Mainnet. Dato che USDT non supporta ETHPoW, l'utente è stato essenzialmente resistente ai propri ETHPoW ed ETH.

Un avvertimento per chiunque abbia intenzione di scaricare i token ETHPoW ricevuti dopo The Merge.

Presta attenzione se il ChainID di ETHPoW è stato aggiornato prima di effettuare la transazione. Il ChainID NON deve essere '1' ma '10001.' Se il ChainID è "1", rischi di perdere fondi dal tuo portafoglio Mainnet Ethereum.