比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > NEAR > Info

FIL:Filecoin「雙花」始末及復盤

Author:

Time:1900/1/1 0:00:00

3月19日凌晨,有社區用戶反饋Filecoin主網存在雙花風險,幣安、OKex等交易所均已關閉Filecoin主網代幣FIL的充值功能,CoboCustody也第一時間暫停了FIL的充值和提幣。

CoboCustody技術團隊對此次Filecoin安全事件保持高度關注并進行了詳細復盤:

Filecoin「雙花」始末

據Filfox和FileStar的Filecoin礦工反饋,周三幣安遭遇了價值數百萬美元的FIL雙花充值攻擊。

起因為有一筆61,000FIL的交易所入賬花費了太長時間,于是Filfox和FileStar礦工為了加速而發起了一筆RBF交易。而該筆RBF交易導致幣安賬戶兩次入金,最終入賬120,000FIL。事后,Filfox和FileStar開發者回應稱,Filecoin的RPC代碼里存在“嚴重的漏洞”。該漏洞導致幣安在看到兩筆有沖突的交易后,選擇了同時入賬。?

FilDA采用時間鎖和多簽保障協議安全性:11月6日FilDA團隊聲明,針對近期多起黑客攻擊事件,FilDA借貸協議采用時間鎖和多簽保障協議安全性,并且管理員沒有提款權限。同時,FilDA協議所有合約現已開源驗證和通過審計,待協議逐步成熟以后,會將多簽權限交由DAO治理。

FilDA是基于HECO網絡的借貸項目,以為用戶提供優質的借貸產品和服務為宗旨,存借款總額高峰值突破21億美元。[2021/11/6 6:35:26]

FilFox和FileStar開發者已經第一時間聯系了幣安,并在第一時間通知了Filecoin官方。

算力方舟CEO邱道長:Filecoin即將崛起的底層邏輯:4月7日,算力方舟CEO邱道長做客中幣(ZB)“IPFS專家談”欄目,并在直播中發表自己的觀點:IPFS在技術架構上,與BTC、ETH類似,IPFS和Filecoin使用的底層技術是在P2P傳輸協議上的改進版,增加了文件切片、哈希去重、內網穿透等技術功能,但IPFS和Filecoin作為一個分布式存儲賽道上的項目,由于IPFS/Filecoin改變了內容分發的規則,因此,第三方的分發中介渠道將會大幅弱化,內容分發的收費模式也會發生根本改變。

IPFS/Filecoin的愿景是取代WEB2.0 HTTP協議,打造基于IPFS/Filecoin的更加開放、快速、安全的互聯網WEB 3.0。所以,在IPFS/Filecoin網絡上,將擁有類似ETH的DeFi生態一樣首創的生態應用圈。[2021/4/7 19:55:10]

幣安、OKex等交易所均已關閉Filecoin主網代幣FIL的充值功能,CoboCustody也第一時間暫停了FIL的充值和提幣。

灰度推出BAT、LINK、MANA、FIL及LPT信托產品:灰度投資(Grayscale Investments)宣布推出BAT、LINK、MANA、FIL和LPT五個投資信托產品,分別為Grayscale Basic Attention Token Trust、Grayscale Chainlink Trust、Grayscale Decentraland Trust、Grayscale Filecoin Trust和Grayscale Livepeer Trust。截至目前,灰度旗下投資產品總數達到14個。[2021/3/17 18:54:11]

技術細節復盤

金色算力云運營副總裁Maggie:降低Filecoin礦工準入門檻 專注云算力挖礦:IPFS100.com現場報道,8月3日,由IPFS100.com主辦,CapitalN節點咨詢承辦,金色算力云聯合主辦,深圳市先河系統技術有限公司金牌贊助,逆熵科技銀牌贊助,金色財經作為聯合主辦媒體的星際漫游指南·逐鹿中原·IPFS技術與應用研討論壇在鄭州舉行。

金色算力云運營副總裁Maggie做了主題為《從投資角度看Filecoin挖礦》的演講。Maggie表示,Filecoin主網還沒有上線,目前可以通過3種方式進行Filecoin的投資,包括購買礦機、購買云算力、二級市場進行期貨交易。作為Filecoin算力銷售平臺,金色算力云已與業內頂尖礦機廠商深度合作,實現一鍵購買,降低Filecoin的挖礦準入門檻。[2020/8/3]

交易所和中心化錢包等中心化托管機構會依據鏈上的轉賬行為給用戶入賬,因此如何高效、準確、及時的解析鏈上的轉賬行為是非常關鍵的,常見的做法是先獲取某個區塊內的所有交易ID,然后基于交易ID獲取對應的交易內容和交易執行結果。

Filecoinlotus節點提供了多個API用于鏈上交易的獲取,例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容,StateGetReceipt可以獲取指定交易ID對應的執行結果,此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析,并基于此為用戶入賬。

不過他們沒有注意到,StateGetReceipt接口有個比較不符合常規邏輯思維的設計,就是在獲取指定交易ID的執行結果時,如果這筆交易已經被RBF,則會返回最終RBF成功的那筆交易的執行結果,并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。

假設攻擊者首先發送了TX1,對應的交易ID為TXID1,隨后攻擊者對TX1進行了RBF,生成TX2,對應的交易ID為TXID2,最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢,都能得到執行正確的結果。

攻擊行為發生后,Filecoin官方開發人員對API進行了補充說明,明確了StateGetReceipt的返回邏輯,并將在v1版本后廢棄此API

https://github.com/filecoin-project/lotus/pull/5838/files??

CoboCustody技術團隊在對接Filecoin的過程中已經發現了上述問題,因此沒有采用ChainGetBlockMessages和StateGetReceipt來獲取鏈上的轉賬行為,而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易,從而從根本上避免了被雙花充值的風險,因此未受此次雙花充值攻擊的影響。

在使用ChainGetParentMessages和ChainGetParentReceipts的過程中,CoboCustody技術團隊發現lotus節點的一些返回值也并不是很符合常規邏輯思維,例如對于空塊的處理是有一些問題的。CoboCustody技術團隊對此做了妥善的安全處理,在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼,避免其他的雙花充值攻擊行為。

雙花即使用上一次交易的代幣,再次進行交易,進而導致產生虛假交易。

2018年比特幣黃金(BTG)就曾受到一名礦工的惡意攻擊,該礦工臨時控制了BTG區塊鏈,在向交易所充值后迅速提幣,再逆轉區塊,成功實施雙花攻擊。此次攻擊者竊取超過388200個BTG,價值高達1860萬美元,也是區塊鏈史上最著名的雙花攻擊之一。

Tags:FILFILEECOECOINfilecoin幣最新消息11月16日filecoin幣價格今日行情KeeCoinlanguagecoin

NEAR
ERG:BiKiTalk對話Ergo公鏈核心開發者Alexander Chepurnoy

ERG即將上線BiKi交易所!ERG是一個真正去中心化的DeFi公鏈平臺。Ergo平臺是一個安全、適應力強、開放、無需許可、去中心化的DeFi應用底層公鏈平臺.

1900/1/1 0:00:00
NFT:翹首以盼的Layer2能給NFT領域帶來什么?

近日,超現實藝術家Beeple創作的NFT藝術品「Everydays:TheFirst5000Days」在佳士得拍賣會上以逾6900萬美元競拍成功,引起業內外軒然大波.

1900/1/1 0:00:00
加密貨幣:曾因碰瓷茅臺上熱搜,這回港股信陽毛尖盯上了加密貨幣

來源:大河報·大河財立方 記者吳春波 3月16日,曾因“碰瓷”貴州茅臺上熱搜的港股公司信陽毛尖,再度發聲,這次是“將新增業務方向瞄向了加密貨幣及大數據管理”.

1900/1/1 0:00:00
NFT:NFT 為什么火了?有哪些機會與風險?

半年之前,寫過一兩篇關于NFT的文章。當時的判斷是:這是個挺有趣的領域,只是發展尚早,有待風來.

1900/1/1 0:00:00
BTC:3.17午間行情:行情不穩 關鍵位置在這

文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
NFT:金色前哨|美股中環球船務聯合CyberMiles進軍NFT

金色財經獲悉,美股上市公司中環球船務(SINO.US)與電商公鏈CyberMiles(CMT)聯合宣布,已基于CyberMiles公鏈的NFT平臺完成了第一期的開發任務,預計將于7月份正式上線.

1900/1/1 0:00:00
ads