Att handla ETHPoW-tokens kan öppna användare för risk att förlora Mainnet $ETH

Varning: Det finns risk för reläattacker på enskilda användares plånböcker om ETHPoW ChainID inte uppdateras som planerat. Sådana attacker kommer att få användare att förlora $ETH motsvarande den sålda ETHPoW.

Den senaste tidens oro över The Merge förvärrades efter att ha upptäckt att Ethereum proof-of-work-kedjan inte hade uppdaterat sitt ChainID till ett unikt nummer. Teamet bakom ETHPoW uppdaterade sin GitHub på fredagsmorgonen för att meddela att de skulle använda ChainID '10001' efter sammanslagningen.

Teamet hävdade dock att ChainID skulle förbli på '1' (samma som Ethereum Mainnet) tills dagen för The Merge som svar på att Coinbase begärde att det skulle uppdateras.

"Koden du nämnde i kommentarerna ovan måste behållas eftersom chainID 1 behövs för att validera kedjedata för block före sammanslagning, och all kedjedata efter sammanslagning kommer att vara chainID 10001."

Skulle ETHPoW behålla samma ChainID och nonce som Mainnet, kan användare riskera att förlora pengar när de försöker handla ETHPoW-tokens de kan få.

CryptoSlate pratade med Temoc Webber och Igor Mandrigin, VD och CTO för Gateway.fm respektive om potentialen för reläattacker genom ETHPoW-kedjan. Gateway.fm är ett web3-infrastrukturföretag fokuserat på att bygga decentraliserade RPC-lösningar som inte är beroende av centraliserade tjänster som AWS.

Under samtalet sa Mandrigin att det inte finns "ingen anledning" för ETHPoW-teamet att inte uppdatera koden före The Merge. "De skulle kunna klaffa i dag," hävdade han innan han föreslog en enkel lösning:

"Du kan helt enkelt lägga till någon kod som gör att ETHPoW kan använda ChainID tills TTD för The Merge uppnås och sedan automatiskt återgå till ett ChainID på '10001'."

Att lägga till några enkla rader kod skulle göra det möjligt för Ethereum-gemenskapen att slappna av, med vetskapen om att ETHPoW inte förbereder sig för att skapa kaos på Mainnet efter sammanslagningen. Motsatsen verkar dock bekräftas eftersom en kärnutvecklare av Ethereum, Lefteris Karapetsas, blockerades av EthereumPoW:s Twitter-konto efter att ha påpekat problemen med att inte ändra ChainID i god tid.

Att påpeka att ETHPoW är inkompetenta och kommer att få folk att förlora pengar får dig att blockeras.

Allt du behöver veta om den kedjan. Använd dem på egen risk. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y

- Lefteris Karapetsas | Anställer för @rotkiapp (@LefterisJP) September 9, 2022

Om ChainID och nonce för ETHPoW inte uppdateras, kan alla affärer som sker på ETHPoW-kedjan replikeras på Mainnet. Här är ett exempel på hur detta skulle kunna utnyttjas.

1. En illvillig aktör upprättar ett tomt uppgraderingsbart proxy-smart kontrakt på Ethereum Mainnet före Sammanslagningen.
2. Efter The Merge uppgraderar den illvilliga skådespelaren ETHPoW smarta kontrakt för att tillåta användare att sälja sin ETHPoW till en premie på $500 per ETHPoW.
3. På Ethereum Mainnet uppgraderar den illvilliga skådespelaren det smarta kontraktet för att skicka alla ETH som den tar emot till Tornado Cash.
4. ETHPoW smarta kontrakt marknadsförs som den bästa DEX för att handla ETHPoW, och användare säljer sin ETHPoW för USDT för $500 per ETHPoW.
5. Handeln går också igenom på Ethereum Mainnet, givet att samma ChainID, nonce och privata nycklar är identiska. Mainnet-kontraktet har dock uppdaterats för att skicka ETH till Tornado Cash och inte returnera någon USDT.
6. Användaren har nu USDT på ETHPoW och ingenting i sin Mainnet-plånbok. Med tanke på att USDT inte har stöd för ETHPoW, har användaren i huvudsak varit robust med sina ETHPoW och ETH.

En varning för alla som planerar att dumpa ETHPoW-tokens de får efter The Merge.

Var uppmärksam på om ChainID för ETHPoW har uppdaterats innan du gör transaktioner. ChainID ska INTE vara '1' utan '10001'. Om ChainID är '1' riskerar du att förlora pengar från din Mainnet Ethereum-plånbok.