Торговля токенами ETHPoW может подвергнуть пользователей риску потери основной сети $ETH

Предупреждение. Существует риск ретрансляционных атак на кошельки отдельных пользователей, если ETHPoW ChainID не будет обновлен в соответствии с планом. Такие атаки приведут к потере пользователями $ETH, эквивалентного проданному ETHPoW.

Недавние опасения по поводу The Merge обострились после того, как было обнаружено, что цепочка проверки работоспособности Ethereum не обновила свой ChainID до уникального числа. Команда ETHPoW обновила свой GitHub в пятницу утром, заявив, что будет использовать ChainID «10001» после слияния.

Тем не менее, команда утверждала, что ChainID останется равным «1» (так же, как и Ethereum Mainnet) до дня слияния в ответ на запрос Coinbase об обновлении.

«Код, который вы упомянули в комментариях выше, должен быть сохранен, потому что chainID 1 необходим для проверки данных цепочки для блоков перед слиянием, а все данные цепочки после слияния будут иметь chainID 10001».

Если ETHPoW сохранит тот же ChainID и одноразовый номер, что и в основной сети, пользователи рискуют потерять средства при попытке обменять любые токены ETHPoW, которые они могут получить.

CryptoSlate поговорил с Темоком Уэббером и Игорем Мандригиным, генеральным директором и техническим директором Шлюз.фм соответственно о возможности ретрансляционных атак через цепочку ETHPoW. Gateway.fm — компания, занимающаяся инфраструктурой web3 и ориентированная на создание децентрализованных RPC-решений, не зависящих от централизованных сервисов, таких как AWS.

В ходе разговора Мандригин заявил, что у команды ETHPoW «нет причин» не обновлять код перед слиянием. «Они могли бы раскошелиться сегодня», — заявил он, прежде чем предложить простое решение:

«Вы можете просто добавить некоторый код, который позволяет ETHPoW использовать ChainID до тех пор, пока не будет достигнуто TTD The Merge, а затем автоматически вернуться к ChainID «10001»».

Добавление нескольких простых строк кода позволит сообществу Ethereum расслабиться, зная, что ETHPoW не собирается создавать хаос после слияния основной сети. Однако, похоже, подтверждается обратное, поскольку основной разработчик Ethereum, Лефтерис Карапетсас, был заблокирован аккаунтом EthereumPoW в Твиттере после того, как указал на проблемы с несвоевременным изменением ChainID.

Если вы укажете, что ETHPoW некомпетентны и заставят людей терять средства, вас заблокируют.

Все, что вам нужно знать об этой цепочке. Используйте их на свой страх и риск. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y

- Лефтерис Карапецас | Наем для @rotkiapp (@LefterisJP) 9 сентября, 2022

Если ChainID и одноразовый номер ETHPoW не обновляются, то любые сделки, происходящие в цепочке ETHPoW, могут быть реплицированы в основной сети. Вот пример того, как это можно использовать.

1. Злоумышленник устанавливает пустой обновляемый смарт-контракт прокси-сервера в основной сети Ethereum до слияния.
2. После слияния злоумышленник обновляет смарт-контракт ETHPoW, чтобы позволить пользователям продавать свои ETHPoW с премией в 500 долларов за ETHPoW.
3. В основной сети Ethereum злоумышленник обновляет смарт-контракт, чтобы отправлять любой полученный ETH в Tornado Cash.
4. Смарт-контракт ETHPoW позиционируется как лучший DEX для торговли ETHPoW, и пользователи продают свои ETHPoW за USDT по 500 долларов за ETHPoW.
5. Сделка также проходит в основной сети Ethereum, учитывая, что одинаковые ChainID, nonce и закрытые ключи идентичны. Однако контракт Mainnet был обновлен, чтобы отправлять ETH в Tornado Cash и не возвращать USDT.
6. Теперь у пользователя есть USDT на ETHPoW и ничего в кошельке основной сети. Учитывая, что USDT не поддерживает ETHPoW, пользователь, по сути, был защищен от своих ETHPoW и ETH.

Предупреждение для тех, кто планирует сбросить любые токены ETHPoW, которые они получат после слияния.

Перед транзакцией обратите внимание на то, был ли обновлен ChainID ETHPoW. Идентификатор цепочки должен быть НЕ «1», а «10001». Если ChainID равен «1», вы рискуете потерять средства из своего кошелька Mainnet Ethereum.