比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Filecoin「雙花」始末及復盤_STA

Author:

Time:1900/1/1 0:00:00

3月19日凌晨,有社區用戶反饋Filecoin主網存在雙花風險,幣安、OKex等交易所均已關閉Filecoin主網代幣FIL的充值功能,CoboCustody也第一時間暫停了FIL的充值和提幣。

CoboCustody技術團隊對此次Filecoin安全事件保持高度關注并進行了詳細復盤:

Filecoin「雙花」始末

據Filfox和FileStar的Filecoin礦工反饋,周三幣安遭遇了價值數百億美元的FIL雙花充值攻擊。

起因為有一筆61,000FIL的交易所入賬花費了太長時間,于是Filfox和FileStar礦工為了加速而發起了一筆RBF交易。而該筆RBF交易導致幣安賬戶兩次入金,最終入賬120,000FIL。事后,Filfox和FileStar開發者回應稱,Filecoin的RPC代碼里存在“嚴重的漏洞”。該漏洞導致幣安在看到兩筆有沖突的交易后,選擇了同時入賬。?

Astar宣布其WASM智能合約賞金提案已獲得批準:金色財經報道,Astar表示,其WASM智能合約賞金提案已獲得批準,團隊聯盟將鼓勵、促進、采用和開發Polkadot平行鏈上的Web Assembly智能合約。[2023/3/5 12:42:44]

FilFox和FileStar開發者已經第一時間聯系了幣安,并在第一時間通知了Filecoin官方。

幣安、OKex等交易所均已關閉Filecoin主網代幣FIL的充值功能,CoboCustody也第一時間暫停了FIL的充值和提幣。

技術細節復盤

數據:ETH市值占比為19.2%,較6月份低點增漲超5%:金色財經消息,據CoinMarketCap最新數據顯示,當前ETH市值占比為19.2%,相比此前6月19日的低點13.9%增漲超5%。[2022/8/7 12:06:56]

交易所和中心化錢包等中心化托管機構會依據鏈上的轉賬行為給用戶入賬,因此如何高效、準確、及時的解析鏈上的轉賬行為是非常關鍵的,常見的做法是先獲取某個區塊內的所有交易ID,然后基于交易ID獲取對應的交易內容和交易執行結果。

Filecoinlotus節點提供了多個API用于鏈上交易的獲取,例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容,StateGetReceipt可以獲取指定交易ID對應的執行結果,此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析,并基于此為用戶入賬。

安全團隊:7月同一團隊已進行至少7次針對Discord的攻擊,盜取超200枚NFT:7月11日消息,據CertiK統計,僅在7月份就發現了至少7次針對Discord的攻擊,背后都是同一個釣魚網站。僅此個人/團隊就盜取了超過200枚NFT。請用戶注意防范。[2022/7/11 2:04:59]

不過他們沒有注意到,StateGetReceipt接口有個比較不符合常規邏輯思維的設計,就是在獲取指定交易ID的執行結果時,如果這筆交易已經被RBF,則會返回最終RBF成功的那筆交易的執行結果,并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。

Blockdaemon和StakeWise推出流動質押平臺Harbour:6月7日消息,區塊鏈基礎設施提供商Blockdaemon和流動性質押平臺StakeWise宣布,在以太坊主網上推出面向機構客戶的流動質押平臺Harbour。

Harbor客戶將在平臺上質押以太坊后獲得質押憑證代幣,機構可以在其他獲得許可的DeFi協議上使用代幣來獲得額外收益,同時仍保持其質押的以太坊。(The Block)[2022/6/7 4:07:46]

假設攻擊者首先發送了TX1,對應的交易ID為TXID1,隨后攻擊者對TX1進行了RBF,生成TX2,對應的交易ID為TXID2,最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢,都能得到執行正確的結果。

攻擊行為發生后,Filecoin官方開發人員對API進行了補充說明,明確了StateGetReceipt的返回邏輯,并將在v1版本后廢棄此API

https://github.com/filecoin-project/lotus/pull/5838/files??

CoboCustody技術團隊在對接Filecoin的過程中已經發現了上述問題,因此沒有采用ChainGetBlockMessages和StateGetReceipt來獲取鏈上的轉賬行為,而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易,從而從根本上避免了被雙花充值的風險,因此未受此次雙花充值攻擊的影響。

在使用ChainGetParentMessages和ChainGetParentReceipts的過程中,CoboCustody技術團隊發現lotus節點的一些返回值也并不是很符合常規邏輯思維,例如對于空塊的處理是有一些問題的。CoboCustody技術團隊對此做了妥善的安全處理,在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼,避免其他的雙花充值攻擊行為。

雙花即使用上一次交易的代幣,再次進行交易,進而導致產生虛假交易。

2018年比特幣黃金(BTG)就曾受到一名礦工的惡意攻擊,該礦工臨時控制了BTG區塊鏈,在向交易所充值后迅速提幣,再逆轉區塊,成功實施雙花攻擊。此次攻擊者竊取超過388200個BTG,價值高達1860萬美元,也是區塊鏈史上最著名的雙花攻擊之一。

來源:金色財經

Tags:FILFILEOINSTAfile幣前景Filecoin 12MonthNFX CoinRestaurant DeFi

比特幣交易所
3.19 大餅反復洗盤 老肖幫你看反向_SEC

成年人的成長是為自己的每個選擇負責一天結束時?可以自豪地告訴自己我今天過得很充實,無愧于心??????????????????????四小時級別來看,布林帶有縮口趨勢,點位在中軌支撐位上.

1900/1/1 0:00:00
灰度新寵現在能玩嗎? 院長說幣行情分析(3/18)_ASP

本號的文章只做研究、學習和交流使用,不具有任何的操作指導意義!幣圈唯一每天堅持視頻分析行情的大號!灰度最近公布了新加入的幣種,其中包括了LPTFIL?BAT?MANA?LINK.

1900/1/1 0:00:00
給我投資帶來深刻影響的書(二)_CRV

1.關注公眾號:道說區塊鏈? 2.后臺回復:電子書 3.獲取《DeFi實戰投資方法論》電子書巴菲特和羅杰斯的書是徹底扭轉我投資方式和對投資界看法的書.

1900/1/1 0:00:00
火牛智能量化機器人:打造區塊鏈量化交易之王_數字貨幣

在人工智能越來越普及的當下,不論是日常生活出行,還是購物消費,機器人的概念和形象已經普遍被使用。那么在號稱“幣圈一日,互聯網十年”的區塊鏈領域,當然也少不了機器人的存在.

1900/1/1 0:00:00
紅日說幣:3-18 晚間比特幣行情分析及操作建議 多頭已成必然之勢 你還在觀望嗎_CRA

BTC行情分析: 1小時看大餅價格白盤持續走區間震蕩,目前看價格還在尋求突破方向,K線價格多次向上試探高點壓力,布林帶偏上開口運行,整體看多頭趨勢明顯,技術面MACD金叉紅色動能持續縮量形態.

1900/1/1 0:00:00
子易論幣:午夜比特幣行情分析午夜看多_Secret

  一日一修行,一日一總結,今日公開布局保持思路不變,不斷低多進場均是如期完成收割,日內大餅拿下3000于點,以太拿下80于點,子易在這里恭喜跟上的朋友,福利不斷,不會操作.

1900/1/1 0:00:00
ads