警告:如果 ETHPoW ChainID 未按計劃更新,則存在對個人用戶錢包進行中繼攻擊的風險。 此類攻擊將導致用戶損失相當於出售的 ETHPoW 的 $ETH。
在發現以太坊工作量證明鏈沒有將其 ChainID 更新為唯一編號後,最近對 The Merge 的擔憂加劇了。 ETHPoW 背後的團隊在周五早上更新了其 GitHub,表示將在合併後使用 ChainID '10001'。
然而,該團隊聲稱,ChainID 將保持在“1”(與以太坊主網相同)直到合併之日,以響應 Coinbase 要求更新它。
“您在上面評論中提到的代碼必須保留,因為在合併之前需要chainID 1來驗證區塊鏈數據,並且合併後的所有鏈數據將是chainID 10001。”
如果 ETHPoW 保留與 Mainnet 相同的 ChainID 和 nonce,用戶在嘗試交易他們可能收到的任何 ETHPoW 代幣時可能會面臨損失資金的風險。
CryptoSlate 與 Temoc Webber 和首席執行官兼首席技術官 Igor Mandrigin 進行了交談 網關.fm 分別關於通過 ETHPoW 鏈進行中繼攻擊的可能性。 Gateway.fm 是一家 web3 基礎設施公司,專注於構建不依賴於 AWS 等中心化服務的去中心化 RPC 解決方案。
在談話中,Mandrigin 表示 ETHPoW 團隊“沒有理由”在 Merge 之前不更新代碼。 “他們今天可以分叉它,”他在提出一個簡單的解決方案之前斷言:
“你可以簡單地添加一些代碼,允許 ETHPoW 使用 ChainID,直到達到 The Merge 的 TTD,然後自動恢復到 ChainID 為‘10001’。”
添加幾行簡單的代碼將使以太坊社區放鬆,因為他們知道 ETHPoW 並沒有準備在主網合併後製造混亂。 然而,相反的情況似乎得到了證實,因為以太坊核心開發者 Lefteris Karapetsas 在指出沒有及時更改 ChainID 的問題後被 EthereumPoW 的 Twitter 賬戶封鎖。
指出 ETHPoW 不稱職,會導致人們損失資金,這會讓你被阻止。
所有你需要知道的關於那個鏈條。 使用它們後果自負。 https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
— Lefteris Karapetsas | 招聘@rotkiapp (@LefterisJP) 2022 年 9 月 9 日
如果 ETHPoW 的 ChainID 和 nonce 沒有更新,那麼在 ETHPoW 鏈上發生的任何交易都可以在主網上複製。 這是一個如何利用它的示例。
- 惡意行為者在合併之前在以太坊主網上設置了一個空的可升級代理智能合約。
- 合併後,惡意行為者升級 ETHPoW 智能合約,允許用戶以每個 ETHPoW 500 美元的溢價出售他們的 ETHPoW。
- 在以太坊主網上,惡意行為者升級智能合約以將其收到的任何 ETH 發送到 Tornado Cash。
- ETHPoW 智能合約被宣傳為交易 ETHPoW 的最佳 DEX,用戶以每 ETHPoW 500 美元的價格出售他們的 ETHPoW 換取 USDT。
- 鑑於相同的 ChainID、nonce 和私鑰是相同的,該交易也在以太坊主網上進行。 但是,主網合約已更新為將 ETH 發送到 Tornado Cash,並且不返回任何 USDT。
- 用戶現在在 ETHPoW 上擁有 USDT,而他們的主網錢包中沒有任何東西。 鑑於 USDT 不支持 ETHPoW,用戶基本上已經對他們的 ETHPoW 和 ETH 感到厭煩。
對任何計劃在合併後轉儲他們收到的任何 ETHPoW 代幣的人發出警告。
交易前請注意ETHPoW的ChainID是否更新。 ChainID 不應為“1”,而應為“10001”。 如果 ChainID 為“1”,您可能會失去主網以太坊錢包中的資金。
資料來源:https://cryptoslate.com/trading-ethpow-tokens-could-open-users-to-risk-of-losing-mainnet-eth/