Hãy thận trọng vì bạn có nguy cơ mất tiền khi giao dịch ETHPoW – Đây là những lỗ hổng đáng lo ngại

Có nguy cơ xảy ra các cuộc tấn công chuyển tiếp vào ví của người dùng cá nhân nếu ChainID ETHPoW không được cập nhật theo kế hoạch. Cuộc tấn công như vậy sẽ khiến người dùng mất ETH tương đương với số ETHPoW đã bán.

Những lo ngại gần đây về Merge càng trở nên trầm trọng hơn sau khi phát hiện ra rằng chain Proof-of-Work (POW) của Ethereum đã không cập nhật ChainID thành một số duy nhất. Team đằng sau ETHPoW đã cập nhật GitHub của mình vào thứ Sáu (9/9) để tuyên bố rằng họ sẽ sử dụng ChainID ‘10001’ sau Merge.

Trước đó, một thành viên của team Coinbase đã nhận xét về kho lưu trữ ETHPoW GitHub và yêu cầu làm rõ cách thiết lập fork chain.

“Trong câu chuyện ETHPoW, chúng tôi đã đi đến mức mà chính team Coinbase Protocol gửi yêu cầu giải quyết vấn đề ChainID. Và vẫn chưa có phản hồi từ team ETHPoW”, Frankie tweet.

Nguồn: frankie

Nếu ETHPoW giữ nguyên ChainID và không giống như mainnet, người dùng có thể có nguy cơ mất tiền khi họ cố gắng giao dịch bất kỳ ETHPoW nào mà họ có thể nhận được.

Testnet ETHPoW sử dụng ChainID 10002 và không có bất kỳ chain nào khác sử dụng dãy số này. Mainnet Ethereum có ChainID là 1 theo ChainList.

Coinbase không phải là team duy nhất cố gắng giải quyết vấn đề này. Bốn yêu cầu khác sau đó đã được gửi cho các nhà phát triển để cập nhật ChainID.

Nhóm ETHPoW đã phản hồi yêu cầu của Coinbase vào ngày 9/9 và cho biết:

“ChainID cho ETHW là 10001, chúng tôi sẽ công bố trên tài khoản Twitter của mình. Code bạn đã đề cập trong nhận xét ở trên phải được giữ lại vì chainID 1 là cần thiết để xác thực dữ liệu cho các block trước khi Merge và tất cả dữ liệu chain sau khi Merge sẽ là chainID 10001”.

Tin tức này giúp xoa dịu sự lo lắng của nhiều người trong hệ sinh thái Ethereum khi biết rằng dường như không có ý đồ xấu trong việc không cập nhật ChainID.

CEO Temoc Webber và CTO Igor Mandrigin của Gateway.fm đã nói về khả năng xảy ra các cuộc tấn công chuyển tiếp thông qua chain ETHPoW. Gateway.fm là một công ty cơ sở hạ tầng web3 tập trung vào việc xây dựng các giải pháp RPC phi tập trung không dựa vào các dịch vụ tập trung như AWS.

Mandrigin nói rằng “không có lý do gì” để team ETHPoW không cập nhật code trước Merge. “Họ có thể fork nó ngay hôm nay”, ông khẳng định trước khi đề xuất một giải pháp đơn giản:

“Bạn có thể chỉ cần thêm một số code cho phép ETHPoW sử dụng ChainID cho đến khi đạt đến Tổng độ khó đầu cuối (TTD) của Merge và sau đó tự động hoàn nguyên về ChainID là‘ 10001’”.

Thêm một vài dòng code đơn giản sẽ cho phép cộng đồng Ethereum an toàn, biết rằng ETHPoW không chuẩn bị tạo ra sự hỗn loạn trên mainnet sau Merge. Tuy nhiên, điều ngược lại dường như đã được xác nhận là nhà phát triển Ethereum cốt lõi, Lefteris Karapetsas, đã bị tài khoản Twitter của EthereumPoW chặn sau khi chỉ ra các vấn đề với việc không thay đổi ChainID trong thời gian thích hợp.

Pointing out that ETHPoW are incompetent and will cause people to lose funds gets you blocked.

All you need to know about that chain. Use them at your peril. https://t.co/E1SBpSb5ux pic.twitter.com/CYUZL5Ye1Y

— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) September 9, 2022

“Có thể thấy ETHPoW không đủ năng lực và sẽ khiến mọi người mất tiền”.

Nếu ChainID và sau đó là ETHPoW không được cập nhật, thì bất kỳ giao dịch nào xảy ra trên chain ETHPoW đều có thể được sao chép trên mainnet.

Đây là một ví dụ về cách tấn công lỗ hổng:

1. Một tác nhân độc hại thiết lập một hợp đồng thông minh proxy có thể nâng cấp trên mainnet Ethereum trước Merge.
2. Sau Merge, tác nhân độc hại nâng cấp hợp đồng thông minh ETHPoW để cho phép người dùng bán ETHPoW với mức phí bảo hiểm là 500 đô la.
3. Trên mainnet Ethereum, tác nhân độc hại nâng cấp hợp đồng thông minh để gửi bất kỳ ETH nào mà nó nhận được tới Tornado Cash.
4. Hợp đồng thông minh ETHPoW được quảng bá là DEX tốt nhất để giao dịch ETHPoW và người dùng bán ETHPoW ra USDT với giá 500 đô la.
5. Giao dịch cũng diễn ra trên mainnet Ethereum, do cùng một ChainID, Nonce và Private Key giống hệt nhau. Tuy nhiên, hợp đồng mainnet đã được cập nhật để gửi ETH đến Tornado Cash và không trả lại bất kỳ USDT nào.
6. Người dùng hiện có USDT trên ETHPoW và không có gì trong ví mainnet của họ. Do USDT không hỗ trợ ETHPoW, người dùng về cơ bản đã rất khó chịu với ETHPoW và ETH của họ.

Ethereum PoW và tầm quan trọng

Hardfork Ethereum PoW sau Merge là giả thuyết được bàn luận xôn xao trong vài tuần qua. Justin Sun, nhà sáng lập Poloniex, đã thông báo sàn giao dịch của anh sẽ hỗ trợ hardfork của Ethereum bằng cách quyên góp đến 1 triệu đô la ETHPoW để xây dựng cộng đồng nhà phát triển trên chain mới.

Tuy nhiên, nhiều người đã hiểu sai về Merge và việc chuyển sang PoS. Mainnet Ethereum sẽ tiếp tục hoạt động suốt thời gian triển khai, trong đó một layer đồng thuận mới gọi là Beacon Chain được hợp nhất vào mạng hiện có.

Mạng sẽ áp dụng bom độ khó, khiến cho hoạt động khai thác trên mainnet trở nên vô nghĩa vì sẽ quá khó để khai thác các block mới. Tuy nhiên, điều đó không có nghĩa là thợ đào phải ngừng khai thác. Họ vẫn có thể khai thác phiên bản PoS đã nâng cấp của Ethereum, nhưng sẽ không thể nhận được bất kỳ phần thưởng nào hoặc đóng góp đáng kể vào việc sản xuất block.

Đối với phiên bản PoW của Ethereum, các thợ đào phải quay lại khai thác Ethereum Classic, có hệ sinh thái nhỏ hơn nhiều và thiếu các dApp quan trọng trên mainnet Ethereum hoặc hardfork mainnet hiện tại mà không Merge Beacon chain.

Hardfork mới duy trì phương pháp đồng thuận PoW có thể xảy ra bất cứ lúc nào. Bất kỳ ai cũng có thể fork Ethereum từ GitHub. Đã có một số nhầm lẫn về Merge, với nhiều người tin rằng phiên bản PoW của Ethereum sẽ tiếp tục và phiên bản PoS sẽ là fork.

Nhầm lẫn của người dùng ETH

Hầu hết sự nhầm lẫn này bắt nguồn từ cách dùng từ của Ethereum Foundation về Merge, ban đầu được gọi là ETH 2.0. Tên này đã bị loại bỏ để giúp người dùng hiểu rằng họ không cần thực hiện hành động nào với Ethereum trong ví không lưu ký (non-custody) của họ.

Nếu người dùng muốn tham gia hardfork Ethereum, họ sẽ phải thêm một chain mới vào ví theo cách tương tự như thêm Polygon, Avalanche, Optimism hoặc BNB Chain.

Tất cả các chain này đều tương thích với EVM, có nghĩa là chúng có nhiều code giống như mainnet Ethereum và hoàn toàn có thể tương tác với cùng một địa chỉ công khai được sử dụng trên tất cả các chain.

Thêm một chain ETHPoW mới sẽ tương tự như thêm một chain khác tương thích với EVM nhưng với tất cả các tài sản, hợp đồng thông minh và token được sao chép từ mainnet.

Sự khác biệt giữa ETH và ETHPoW

Một trong những cách đơn giản nhất để phân biệt giữa mainnet Ethereum và ETHPoW là sử dụng ChainID. ChainID là số xác định chain cho ứng dụng phi tập trung (dApp) và hợp đồng thông minh để họ biết họ đang tương tác với mạng nào.

Tuy nhiên, kho lưu trữ GitHub hiện tại chứa code ETHPoW vẫn có ChainID giống như mainnet Ethereum. Nếu không thay đổi ChainID này, các dApp và hợp đồng thông minh sẽ không thể nhận ra chain ETHPoW, vì mọi giao dịch có thể sẽ thất bại do thiếu đồng thuận từ các trình xác thực sử dụng ChainID này.

Một lo ngại khác là khả năng xảy ra “các cuộc tấn công phát lại” (replay attack), theo đó giao dịch được phát lại trên cả hai chain, mở ra các rủi ro nghiêm trọng về bảo mật.

Giờ đây, ChainID đã được xác nhận là 10001, người dùng có thể chuẩn bị ví sau khi địa chỉ RPC phù hợp được phát hành để nhận airdrop ETHPoW.

Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

• ETH dao động quanh $ 1.600, điều gì tiếp theo?
• Merge có thể đánh dấu sự ra đời của Crypto 2.0

Ông Giáo

Theo CryptoSlate