Berdagang token ETHPoW boleh membuka pengguna kepada risiko kehilangan Mainnet $ETH

Amaran: Terdapat risiko serangan geganti pada dompet pengguna individu jika ETHPoW ChainID tidak dikemas kini seperti yang dirancang. Serangan sedemikian akan menyebabkan pengguna kehilangan $ETH bersamaan dengan ETHPoW yang dijual.

Kebimbangan baru-baru ini mengenai The Merge telah diburukkan selepas mendapati bahawa rantaian bukti kerja Ethereum tidak mengemas kini ChainIDnya kepada nombor unik. Pasukan di belakang ETHPoW mengemas kini GitHubnya pada pagi Jumaat untuk menyatakan bahawa ia akan menggunakan ChainID '10001' selepas Gabungan.

Walau bagaimanapun, pasukan itu menegaskan bahawa ChainID akan kekal pada '1' (sama seperti Ethereum Mainnet) sehingga hari The Merge sebagai tindak balas kepada Coinbase yang meminta ia dikemas kini.

"Kod yang anda nyatakan dalam ulasan di atas perlu disimpan kerana chainID 1 diperlukan untuk mengesahkan data rantaian untuk blok sebelum gabungan dan semua data rantaian selepas gabungan akan menjadi chainID 10001."

Sekiranya ETHPoW mengekalkan ChainID yang sama dan bukan sebagai Mainnet, pengguna boleh berisiko kehilangan dana apabila mereka cuba berdagang sebarang token ETHPoW yang mungkin mereka terima.

CryptoSlate bercakap dengan Temoc Webber dan Igor Mandrigin, Ketua Pegawai Eksekutif dan CTO Gateway.fm masing-masing tentang potensi serangan geganti melalui rantaian ETHPoW. Gateway.fm ialah syarikat infrastruktur web3 yang menumpukan pada membina penyelesaian RPC terpencar yang tidak bergantung pada perkhidmatan terpusat seperti AWS.

Semasa perbualan, Mandrigin menyatakan bahawa "tiada sebab" untuk pasukan ETHPoW tidak mengemas kini kod sebelum The Merge. "Mereka boleh melakukannya hari ini," tegasnya sebelum mencadangkan penyelesaian mudah:

“Anda hanya boleh menambah beberapa kod yang membolehkan ETHPoW menggunakan ChainID sehingga TTD The Merge dicapai dan kemudian secara automatik kembali kepada ChainID '10001.'”

Menambah beberapa baris kod ringkas akan membolehkan komuniti Ethereum berehat, mengetahui bahawa ETHPoW tidak bersedia untuk mencipta huru-hara pada Mainnet selepas bergabung. Walau bagaimanapun, sebaliknya nampaknya disahkan sebagai pembangun teras Ethereum, Lefteris Karapetsas, telah disekat oleh akaun Twitter EthereumPoW selepas menunjukkan isu dengan tidak menukar ChainID dalam masa yang baik.

Menunjukkan bahawa ETHPoW tidak cekap dan akan menyebabkan orang kehilangan dana menyebabkan anda disekat.

Semua yang anda perlu tahu tentang rantai itu. Gunakan mereka dengan bahaya anda. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y

- Lefteris Karapetsas | Mempekerjakan untuk @rotkiapp (@LefterisJP) September 9, 2022

Jika ChainID dan bukan ETHPoW tidak dikemas kini, maka sebarang dagangan yang berlaku pada rantaian ETHPoW boleh direplikasi di Mainnet. Berikut adalah contoh bagaimana ini boleh dieksploitasi.

1. Pelakon berniat jahat menyediakan kontrak pintar proksi boleh naik taraf kosong pada Ethereum Mainnet sebelum The Merge.
2. Selepas The Merge, pelakon berniat jahat itu menaik taraf kontrak pintar ETHPoW untuk membolehkan pengguna menjual ETHPoW mereka pada premium $500 setiap ETHPoW.
3. Pada Ethereum Mainnet, pelakon berniat jahat itu meningkatkan kontrak pintar untuk menghantar sebarang ETH yang diterimanya kepada Tornado Cash.
4. Kontrak pintar ETHPoW dipasarkan sebagai DEX terbaik untuk berdagang ETHPoW, dan pengguna menjual ETHPoW mereka untuk USDT untuk $500 setiap ETHPoW.
5. Dagangan juga diteruskan pada Ethereum Mainnet, memandangkan ChainID, nonce, dan kunci persendirian yang sama adalah sama. Walau bagaimanapun, kontrak Mainnet telah dikemas kini untuk menghantar ETH kepada Tornado Cash dan tidak memulangkan sebarang USDT.
6. Pengguna kini mempunyai USDT pada ETHPoW dan tiada apa-apa dalam dompet Mainnet mereka. Memandangkan USDT tidak menyokong ETHPoW, pengguna pada dasarnya telah lasak dengan ETHPoW dan ETH mereka.

Satu perkataan amaran untuk sesiapa yang merancang untuk membuang mana-mana token ETHPoW yang mereka terima selepas The Merge.

Beri perhatian sama ada ChainID ETHPoW telah dikemas kini sebelum anda berurus niaga. ChainID TIDAK sepatutnya '1' tetapi '10001.' Jika ChainID ialah '1', anda berisiko kehilangan dana daripada dompet Mainnet Ethereum anda.