火星链 火星链
Ctrl+D收藏火星链
首页 > 中币 > 正文

ECOIN:Filecoin「双花」始末及复盘

作者:

时间:1900/1/1 0:00:00

3月19日凌晨,有社区用户反馈Filecoin主网存在双花风险,币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。

CoboCustody技术团队对此次Filecoin安全事件保持高度关注并进行了详细复盘:

Filecoin「双花」始末

据Filfox和FileStar的Filecoin矿工反馈,周三币安遭遇了价值数百万美元的FIL双花充值攻击。

起因为有一笔61,000FIL的交易所入账花费了太长时间,于是Filfox和FileStar矿工为了加速而发起了一笔RBF交易。而该笔RBF交易导致币安账户两次入金,最终入账120,000FIL。事后,Filfox和FileStar开发者回应称,Filecoin的RPC代码里存在“严重的漏洞”。该漏洞导致币安在看到两笔有冲突的交易后,选择了同时入账。?

过去10天灰度FIL信托溢价增长一倍,目前暂报166.51%:1月22日消息,数据显示,目前灰度基金总持仓197.12亿美元,主流币种信托折价率如下:GBTC(-40.06%)、ETHE(-46.79%)、ETC(-64.11% )、LTC(-56.05% )、BCH(-45.05% )、ZEC(-42.79% )、XLM(-19.11% )、ZEN(-29.55% )、LPT(-41.02% )、BAT(-57.98% );三个正溢价的产品分别是LINK(3.53% )、MANA(17.69% )以及FIL(166.51% ),特别是FIL在过去10天溢价增长一倍。[2023/1/22 11:25:37]

FilFox和FileStar开发者已经第一时间联系了币安,并在第一时间通知了Filecoin官方。

香港上市企业时代环球购入1.2万枚Filecoin:8月2日,香港上市公司时代环球集团控股有限公司发布公告称该公司全资附属公司已透过场内交易购买12,000枚Filecoin,总价(不含手续费)为639,942美元,均价53.33美元/枚。[2021/8/2 1:29:10]

币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。

技术细节复盘

交易所和中心化钱包等中心化托管机构会依据链上的转账行为给用户入账,因此如何高效、准确、及时的解析链上的转账行为是非常关键的,常见的做法是先获取某个区块内的所有交易ID,然后基于交易ID获取对应的交易内容和交易执行结果。

Gate.io 已完成11月21日FIL代币转化分发,总量约1.3万枚:据官方公告,Gate.io今日(11月21日)已经根据用户FIL6持仓情况完成FIL分发,总计约1.3万枚,用户可在账户账单明细中查看详情。目前Gate.io已经支持Filecoin(FIL)现货交易,充值提现,杠杠交易,币币理财,永续合约交易等全线系列产品和服务。[2020/11/21 21:36:10]

Filecoinlotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。

Filecoin太空竞赛第三周将进行进一步压力测试:9月7日,据官方消息,Filecoin太空竞赛已经进入第三周,本周Filecoin网络将进行进一步的一系列压力测试,以此来评估网络整体对于失败和更新的反应。Filecoin官方人员Mosh在slack表示,尤其是在Filecoin早期阶段,作为一个社区,必须做到高度可适应和灵活,所有大矿工代表们需要一天24小时,一周7天在线,在遇到的任何问题下都能快速更新。本周的具体安排如下:

1.9月7日(部分地区是周二),Filecoin将开始一条小链的更新,以测试整体的更新速度,预计只要几个小时就可以更新节点到新的链状态。这将证明网络是否可以快速地对错误和主网攻击进行反应。(窗口维护期会在北京时间9月8日3:00开始,Lotus 0.5.11版本发布会在9月8日7:00,更新纪元会在9月8日14:00,窗口维护期结束会在15:00)

2.如果上一步进展顺利,9月9日(周三)会触发一个简单版的Drand全网停运,以测试网络对错误的应对能力。Drand是一个高度弹性和随机的beacon,可以以此确定Filecoin网络是否可以从网络暂停中成功恢复。

3.9月10日(部分地区是周五),将测试升级的复杂性,Filecoin网络可以处理更复杂的角色升级,也将包括工具和使未来升级更容易的工具,以此来确保网络之后能提升和更新Filecoin角色,考虑到复杂性,将会有略微延长的更新窗口。

此外,Filecoin官方还表示将对一些交易机器人的维护窗口和以上更新进行协调,继续密切观察,以确保这些重要的测试不会影响到比赛。与此同时,浏览器信息显示,全网存储已经达到133PiB。[2020/9/7]

不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF,则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。

假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果。

攻击行为发生后,Filecoin官方开发人员对API进行了补充说明,明确了StateGetReceipt的返回逻辑,并将在v1版本后废弃此API

https://github.com/filecoin-project/lotus/pull/5838/files??

CoboCustody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlockMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。

在使用ChainGetParentMessages和ChainGetParentReceipts的过程中,CoboCustody技术团队发现lotus节点的一些返回值也并不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。CoboCustody技术团队对此做了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。

双花即使用上一次交易的代币,再次进行交易,进而导致产生虚假交易。

2018年比特币黄金(BTG)就曾受到一名矿工的恶意攻击,该矿工临时控制了BTG区块链,在向交易所充值后迅速提币,再逆转区块,成功实施双花攻击。此次攻击者窃取超过388200个BTG,价值高达1860万美元,也是区块链史上最著名的双花攻击之一。

标签:FILFILEECOINOINfile币价filecoin币是什么币MasternodecoinSuccor Coin

中币热门资讯
TER:给我投资带来深刻影响的书(二)

1.关注公众号:道说区块链2.后台回复:电子书3.获取《DeFi实战投资方法论》电子书巴菲特和罗杰斯的书是彻底扭转我投资方式和对投资界看法的书,这两本书奠定了我后来投资的基本框架和思维方式.

1900/1/1 0:00:00
ISA:3.19午间行情:强势反弹后 走势能否延续

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00
以太坊:老崔说币:03-18币圈多币种解析!

大家好,我是你们的朋友老崔说币lcsb18888,老崔说币公众号同步专注数字货币行情分析,争取为广大币友传递最有价值的币市信息,欢迎广大币友的关注与点赞.

1900/1/1 0:00:00
GAT:Gate.io 直播:中长线选币浅谈、手持时间玫瑰等16个节目即将开播

Gate.io直播间作为行业内首个交易所内置直播功能,通过多样性的直播形式为平台用户带来具有深度、有趣、开放的信息内容.

1900/1/1 0:00:00
ADE:关于BiKi余币宝将于03月20日开启USDT、ETH机池理财的公告 (0319)

尊敬的用户:BiKi余币宝将于03月19日10:00开启第20期USDT预期年化收益15%、2期ETH预期年化收益10%机池理财.

1900/1/1 0:00:00
CHA:ckcoin教学平台《大牛学院》 狙击交易买卖点教学(上)

币圈的每一次交易,都是多空的博弈,踏空最多抱头懊恼,踏错则会直接导致资产的缩水甚至亏损,市场交易造就猜顶猜底不断上演,对于币圈用户而言,最为关注的问题无异于什么时候可以买入.

1900/1/1 0:00:00