3月19日凌晨,有社区用户反馈Filecoin主网存在双花风险,币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。CoboCustody技术团队对此次Filecoin安全事件保持高度关注并进行了详细复盘:Filecoin「双花」始末
据Filfox和FileStar的Filecoin矿工反馈,周三币安遭遇了价值数百万美元的FIL双花充值攻击。起因为有一笔61,000FIL的交易所入账花费了太长时间,于是Filfox和FileStar矿工为了加速而发起了一笔RBF交易。而该笔RBF交易导致币安账户两次入金,最终入账120,000FIL。事后,Filfox和FileStar开发者回应称,Filecoin的RPC代码里存在“严重的漏洞”。该漏洞导致币安在看到两笔有冲突的交易后,选择了同时入账。FilFox和FileStar开发者已经第一时间联系了币安,并在第一时间通知了Filecoin官方。币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。技术细节复盘
Filecoin网络全网有效算力上涨至8.801EiB:据IPFS100报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为1006206,全网有效算力为8.801EiB,总质押量约为9936万枚FIL,活跃矿工数为2894个,每区块奖励为24.4755FIL,近24小时产出量为348995FIL,24小时平均挖矿收益为0.0380FIL/TiB,目前FIL流通量为156485941。目前有效算力排名前三的分别为:f0127595(时空云)以132.70PiB暂居第一,f0135467(RRM-雅典娜)以115.11PiB位居第二,f0142720(RRM-雅典娜)以109.16PiB位居第三。[2021/8/9 1:43:24]
交易所和中心化钱包等中心化托管机构会依据链上的转账行为给用户入账,因此如何高效、准确、及时的解析链上的转账行为是非常关键的,常见的做法是先获取某个区块内的所有交易ID,然后基于交易ID获取对应的交易内容和交易执行结果。Filecoinlotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF,则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果。攻击行为发生后,Filecoin官方开发人员对API进行了补充说明,明确了StateGetReceipt的返回逻辑,并将在v1版本后废弃此APIhttps://github.com/filecoin-project/lotus/pull/5838/files
数据:灰度信托增持MANA、LINK以及FIL:据欧科云链OKLink数据显示,截至美东时间5月19日,灰度投资已发行的13支单一资产信托基金总价值为352.21亿美元,较前日下降15.3%。同期灰度增持8.53万枚MANA、3139枚LINK以及1290枚FIL,其余币种未见增持;当前GBTC和ETHE负溢价率分别为-9.22%和-8.40%。当前灰度MANA信托持仓量达到1766.05万枚MANA,占MANA总量的1.12%。[2021/5/20 22:23:36]
神鱼:Filecoin lotus节点的一些返回值不是很符合常规逻辑:神鱼及Cobo官方今日给出Filecoin“双花攻击”细节:Filecoin lotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF(replace by fee),则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果!
Cobo Custody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlotckMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的过程中,Cobo Custody技术团队发现lotus节点的一些返回值也不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。Cobo Custody技术团队对此作了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。[2021/3/19 19:00:06]
CoboCustody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlockMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。在使用ChainGetParentMessages和ChainGetParentReceipts的过程中,CoboCustody技术团队发现lotus节点的一些返回值也并不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。CoboCustody技术团队对此做了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。双花即使用上一次交易的代币,再次进行交易,进而导致产生虚假交易。2018年比特币黄金(BTG)就曾受到一名矿工的恶意攻击,该矿工临时控制了BTG区块链,在向交易所充值后迅速提币,再逆转区块,成功实施双花攻击。此次攻击者窃取超过388200个BTG,价值高达1860万美元,也是区块链史上最著名的双花攻击之一。
中币(ZB)FIL6Z最高涨幅19.98%:根据中币(ZB)官网数据显示,截至今日10:05,FIL6Z最高涨幅19.98%,当前涨幅17.97%,最高价格179QC(约26.4USDT),当前报价176.01QC(约25.9USDT)。行情波动较大,请注意控制风险。FIL6Z全称Filecoin6Month ZB,是中币(ZB)推出的Filecoin 6个月的期货产品。[2020/9/30]
标签:FILFILEGETCOINfilecoin币是什么filecoin币价格查询GET价格中国用户注册coinbase
编者按:本文来自巴比特资讯,作者:ReynaldoMarquez,编译:云锦,星球日报经授权发布。研究公司Santiment指出,交易所的以太坊供应量处于28个月来的最低点.
1900/1/1 0:00:00BTC行情分析 基本面上面没有什么变化,我们从走势的技术层面来解析一下当下的位置情况,然后再结合数据的情况分析下。 目前BTC新走势低点已经创出了日线中枢底部中枢的新低,跌至53000的位置。从目前的走势来看,底部的位置很难能够稳住.
1900/1/1 0:00:00比特币在去年底突破20000美金的前高位之后,一路强势上涨,从去年3月开始计算,一年里高达15倍的涨幅让这个充满争议的事物再度成为热议的对象.
1900/1/1 0:00:00作者|PlatON技术筹备组Silas配图来源|Unsplash密码学,是一门将信息进行加密处理与传递,以及分析加密信息的学科。根据以RSA为代表的公钥加密体系的出现,可以将密码学的发展过程分为古典密码学与现代密码学两部分.
1900/1/1 0:00:00消息面:1、谷歌前工程师、比特币研究员VijayBoyapati在推特上表示,在比特币货币化的最后阶段,每个人都会认为,比特币应该成为世界货币,这一点很容易理解。2、行情显示,美国十年期国债收益率再度走高,现报1.704%.
1900/1/1 0:00:00撰文:Haohan,ApifinyCEO来源链接:BitcoinMagazine编译:Apifiny亚太团队摘要:即便比特币在传统金融领域的合法化日趋成熟,但行业内仍存在一些障碍阻碍着专业交易员参与其中.
1900/1/1 0:00:00