Попередження: існує ризик ретрансляційних атак на гаманці окремих користувачів, якщо ETHPoW ChainID не буде оновлено за планом. Такі атаки призведуть до того, що користувачі втратять $ETH, еквівалентну проданій ETHPoW.
Останні занепокоєння щодо The Merge посилилися після виявлення того, що ланцюжок доказів роботи Ethereum не оновив свій ChainID до унікального номера. Команда ETHPoW оновила свій GitHub у п’ятницю вранці, заявивши, що після злиття буде використовувати ChainID «10001».
Однак команда стверджувала, що ChainID залишатиметься на рівні «1» (так само, як і Ethereum Mainnet) до дня злиття у відповідь на запит Coinbase оновити його.
«Код, який ви згадали у коментарях вище, має зберігатися, оскільки chainID 1 потрібен для перевірки даних ланцюга для блоків перед злиттям, а всі дані ланцюга після злиття матимуть chainID 10001».
Якщо ETHPoW збереже той самий ChainID і nonce, що й Mainnet, користувачі можуть ризикувати втратою коштів, коли вони намагатимуться торгувати будь-якими токенами ETHPoW, які вони можуть отримати.
CryptoSlate поспілкувався з Темоком Веббером та Ігорем Мандригіним, генеральним директором і технічним директором компанії Gateway.fm відповідно про потенціал естафетних атак через ланцюг ETHPoW. Gateway.fm — це компанія, яка розробляє інфраструктуру web3 і зосереджена на створенні децентралізованих рішень RPC, які не покладаються на централізовані служби, такі як AWS.
Під час розмови Mandrigin заявив, що «немає причин» для команди ETHPoW не оновлювати код до The Merge. «Вони можуть розгалужити це сьогодні», — заявив він, перш ніж запропонувати просте рішення:
«Ви можете просто додати код, який дозволить ETHPoW використовувати ChainID, доки не буде досягнуто TTD The Merge, а потім автоматично повернутися до ChainID «10001».»
Додавання кількох простих рядків коду дозволило б спільноті Ethereum розслабитися, знаючи, що ETHPoW не збирається створювати хаос у Mainnet після злиття. Однак, схоже, підтверджено протилежне, оскільки основний розробник Ethereum, Лефтеріс Карапетсас, був заблокований обліковим записом EthereumPoW у Twitter після того, як він вказав на проблеми з невчасною зміною ChainID.
Вказівка на те, що ETHPoW є некомпетентними та спричинить втрату коштів, призводить до блокування.
Все, що вам потрібно знати про цей ланцюжок. Використовуйте їх на свій страх і ризик. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
- Лефтерис Карапецас | Найм для @rotkiapp (@LefterisJP) Вересень 9, 2022
Якщо ChainID і nonce ETHPoW не оновлені, тоді будь-які операції, які відбуваються в ланцюжку ETHPoW, можуть бути відтворені в Mainnet. Ось приклад того, як це можна використати.
- Зловмисник встановлює порожній смарт-контракт проксі-сервера з можливістю оновлення в мережі Ethereum до злиття.
- Після The Merge зловмисник оновлює смарт-контракт ETHPoW, щоб дозволити користувачам продавати свої ETHPoW з премією 500 доларів США за ETHPoW.
- У мережі Ethereum зловмисник оновлює смарт-контракт, щоб надсилати будь-який отриманий ETH на Tornado Cash.
- Смарт-контракт ETHPoW продається як найкращий DEX для торгівлі ETHPoW, і користувачі продають свій ETHPoW за USDT за 500 доларів США за ETHPoW.
- Торгівля також відбувається в основній мережі Ethereum, враховуючи, що той самий ChainID, nonce та закриті ключі ідентичні. Однак контракт Mainnet було оновлено, щоб надсилати ETH на Tornado Cash і не повертати USDT.
- Користувач тепер має USDT на ETHPoW і нічого не має в гаманці Mainnet. З огляду на те, що USDT не підтримує ETHPoW, користувач фактично був захищений від своїх ETHPoW та ETH.
Слово попередження для всіх, хто планує скинути будь-які токени ETHPoW, які вони отримають після злиття.
Зверніть увагу на те, чи оновлено ChainID ETHPoW, перш ніж здійснювати транзакцію. ChainID має бути НЕ "1", а "10001". Якщо ChainID дорівнює «1», ви ризикуєте втратити кошти зі свого гаманця Mainnet Ethereum.
Джерело: https://cryptoslate.com/trading-ethpow-tokens-could-open-users-to-risk-of-losing-mainnet-eth/