警告:如果 ETHPoW ChainID 未按计划更新,则存在对个人用户钱包进行中继攻击的风险。 此类攻击将导致用户损失相当于出售的 ETHPoW 的 $ETH。
在发现以太坊工作量证明链没有将其 ChainID 更新为唯一编号后,最近对 The Merge 的担忧加剧了。 ETHPoW 背后的团队在周五早上更新了其 GitHub,表示将在合并后使用 ChainID '10001'。
然而,该团队声称,ChainID 将保持在“1”(与以太坊主网相同)直到合并之日,以响应 Coinbase 要求更新它。
“您在上面评论中提到的代码必须保留,因为在合并之前需要chainID 1来验证区块链数据,并且合并后的所有链数据将是chainID 10001。”
如果 ETHPoW 保留与 Mainnet 相同的 ChainID 和 nonce,用户在尝试交易他们可能收到的任何 ETHPoW 代币时可能会面临损失资金的风险。
CryptoSlate 与 Temoc Webber 和首席执行官兼首席技术官 Igor Mandrigin 进行了交谈 网关.fm 分别关于通过 ETHPoW 链进行中继攻击的可能性。 Gateway.fm 是一家 web3 基础设施公司,专注于构建不依赖于 AWS 等中心化服务的去中心化 RPC 解决方案。
在谈话中,Mandrigin 表示 ETHPoW 团队“没有理由”在 Merge 之前不更新代码。 “他们今天可以分叉它,”他在提出一个简单的解决方案之前断言:
“你可以简单地添加一些代码,允许 ETHPoW 使用 ChainID,直到达到 The Merge 的 TTD,然后自动恢复到 ChainID 为‘10001’。”
添加几行简单的代码将使以太坊社区放松,因为他们知道 ETHPoW 并没有准备在合并后的主网上制造混乱。 然而,相反的情况似乎得到了证实,因为以太坊核心开发者 Lefteris Karapetsas 在指出没有及时更改 ChainID 的问题后被 EthereumPoW 的 Twitter 账户封锁。
指出 ETHPoW 不称职,会导致人们损失资金,这会让你被阻止。
所有你需要知道的关于那个链条。 使用它们后果自负。 https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
— Lefteris Karapetsas | 招聘@rotkiapp (@LefterisJP) 2022 年 9 月 9 日
如果 ETHPoW 的 ChainID 和 nonce 没有更新,那么在 ETHPoW 链上发生的任何交易都可以在主网上复制。 这是一个如何利用它的示例。
- 恶意行为者在合并之前在以太坊主网上设置了一个空的可升级代理智能合约。
- 合并后,恶意行为者升级 ETHPoW 智能合约,允许用户以每个 ETHPoW 500 美元的溢价出售他们的 ETHPoW。
- 在以太坊主网上,恶意行为者升级智能合约以将其收到的任何 ETH 发送到 Tornado Cash。
- ETHPoW 智能合约被宣传为交易 ETHPoW 的最佳 DEX,用户以每 ETHPoW 500 美元的价格出售他们的 ETHPoW 换取 USDT。
- 鉴于相同的 ChainID、nonce 和私钥是相同的,该交易也在以太坊主网上进行。 但是,主网合约已更新为将 ETH 发送到 Tornado Cash,并且不返回任何 USDT。
- 用户现在在 ETHPoW 上拥有 USDT,而他们的主网钱包中没有任何东西。 鉴于 USDT 不支持 ETHPoW,用户基本上已经对他们的 ETHPoW 和 ETH 感到厌烦。
对任何计划在合并后转储他们收到的任何 ETHPoW 代币的人发出警告。
交易前请注意ETHPoW的ChainID是否更新。 ChainID 不应为“1”,而应为“10001”。 如果 ChainID 为“1”,您可能会失去主网以太坊钱包中的资金。
资料来源:https://cryptoslate.com/trading-ethpow-tokens-could-open-users-to-risk-of-losing-mainnet-eth/