Avertissement : Il existe un risque d'attaques par relais sur les portefeuilles des utilisateurs individuels si l'ETHPoW ChainID n'est pas mis à jour comme prévu. De telles attaques feront perdre aux utilisateurs l'équivalent en $ETH de l'ETHPoW vendu.
Les inquiétudes récentes concernant The Merge ont été exacerbées après avoir découvert que la chaîne de preuve de travail Ethereum n'avait pas mis à jour son ChainID en un numéro unique. L'équipe derrière ETHPoW a mis à jour son GitHub vendredi matin pour déclarer qu'elle utiliserait le ChainID '10001' après la fusion.
Cependant, l'équipe a affirmé que le ChainID resterait à '1' (le même que Ethereum Mainnet) jusqu'au jour de The Merge en réponse à Coinbase demandant sa mise à jour.
"Le code que vous avez mentionné dans les commentaires ci-dessus doit être conservé car chainID 1 est nécessaire pour valider les données de chaîne pour les blocs avant la fusion, et toutes les données de chaîne après la fusion seront chainID 10001."
Si ETHPoW conserve le même ChainID et nonce que Mainnet, les utilisateurs pourraient risquer de perdre des fonds lorsqu'ils essaient d'échanger des jetons ETHPoW qu'ils pourraient recevoir.
CryptoSlate s'est entretenu avec Temoc Webber et Igor Mandrigin, PDG et CTO de Passerelle.fm respectivement sur le potentiel d'attaques par relais via la chaîne ETHPoW. Gateway.fm est une société d'infrastructure Web3 axée sur la création de solutions RPC décentralisées qui ne reposent pas sur des services centralisés tels qu'AWS.
Au cours de la conversation, Mandrigin a déclaré qu'il n'y avait "aucune raison" pour que l'équipe ETHPoW ne mette pas à jour le code avant The Merge. "Ils pourraient le bifurquer aujourd'hui", a-t-il affirmé avant de proposer une solution simple :
"Vous pouvez simplement ajouter un code qui permet à ETHPoW d'utiliser ChainID jusqu'à ce que le TTD de The Merge soit atteint, puis de revenir automatiquement à un ChainID de '10001.'"
L'ajout de quelques lignes de code simples permettrait à la communauté Ethereum de se détendre, sachant qu'ETHPoW ne se prépare pas à créer le chaos sur Mainnet après la fusion. Cependant, le contraire semble être confirmé car un développeur principal d'Ethereum, Lefteris Karapetsas, a été bloqué par le compte Twitter d'EthereumPoW après avoir souligné les problèmes liés au fait de ne pas modifier le ChainID en temps utile.
Souligner que ETHPoW est incompétent et fera perdre des fonds aux gens vous bloque.
Tout ce que vous devez savoir sur cette chaîne. Utilisez-les à vos risques et périls. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y
— Lefteris Karapetsas | Embauche pour @rotkiapp (@LefterisJP) 9 septembre 2022
Si le ChainID et le nonce d'ETHPoW ne sont pas mis à jour, toutes les transactions qui se produisent sur la chaîne ETHPoW pourraient être répliquées sur Mainnet. Voici un exemple de la façon dont cela pourrait être exploité.
- Un acteur malveillant met en place un contrat intelligent proxy évolutif vide sur Ethereum Mainnet avant la fusion.
- Après The Merge, l'acteur malveillant met à jour le contrat intelligent ETHPoW pour permettre aux utilisateurs de vendre leur ETHPoW avec une prime de 500 $ par ETHPoW.
- Sur Ethereum Mainnet, l'acteur malveillant met à jour le contrat intelligent pour envoyer tout ETH qu'il reçoit à Tornado Cash.
- Le contrat intelligent ETHPoW est commercialisé comme le meilleur DEX pour échanger ETHPoW, et les utilisateurs vendent leur ETHPoW contre USDT pour 500 $ par ETHPoW.
- Le commerce passe également sur le réseau principal Ethereum, étant donné que les mêmes ChainID, nonce et clés privées sont identiques. Cependant, le contrat Mainnet a été mis à jour pour envoyer l'ETH à Tornado Cash et ne renvoyer aucun USDT.
- L'utilisateur a maintenant USDT sur ETHPoW et rien dans son portefeuille Mainnet. Étant donné que l'USDT ne prend pas en charge ETHPoW, l'utilisateur a essentiellement été robuste avec ses ETHPoW et ETH.
Un mot d'avertissement pour tous ceux qui envisagent de vider les jetons ETHPoW qu'ils reçoivent après la fusion.
Faites attention à ce que le ChainID d'ETHPoW ait été mis à jour avant d'effectuer une transaction. Le ChainID ne doit PAS être '1' mais '10001.' Si le ChainID est '1', vous risquez de perdre des fonds de votre portefeuille Mainnet Ethereum.
Source : https://cryptoslate.com/trading-ethpow-tokens-could-open-users-to-risk-of-losing-mainnet-eth/