Historia y reseña de Filecoin "Double Flower"

En la madrugada del 19 de marzo, algunos usuarios de la comunidad informaron que existe el riesgo de duplicar el gasto en la red principal de Filecoin. Binance, OKex y otros intercambios han cerrado la función de recarga del token FIL de la red principal de Filecoin. Cobo Custody también suspendió inmediatamente la recarga. y pago de FIL Retiro de monedas.

El equipo técnico de Cobo Custody prestó mucha atención a este incidente de seguridad de Filecoin y realizó una revisión detallada:

Según los comentarios de los mineros de Filecoin de Filfox y FileStar, el miércoles, Binance se encontró con un ataque de recarga de doble gasto de FIL multimillonario.

El motivo fue que se tardó demasiado en registrar una transacción de 61 000 FIL (aproximadamente 4,6 millones de dólares), por lo que los mineros de Filfox y FileStar iniciaron una transacción RBF para acelerarla. La transacción de RBF resultó en dos depósitos en la cuenta de Binance y finalmente se acreditaron 120,000 FIL. Posteriormente, los desarrolladores de Filfox y FileStar respondieron que había "graves lagunas" en el código RPC de Filecoin. La vulnerabilidad hizo que Binance eligiera depositar al mismo tiempo después de ver dos transacciones en conflicto.  

Filecoin anunció que Network Indexer se lanzó oficialmente: Golden Finance News, Filecoin tuiteó que el primer producto, Network Indexer, se lanzó oficialmente, que admite la búsqueda de datos direccionables de contenido de proveedores de almacenamiento en las redes Filecoin e IPFS.

Según noticias anteriores, según el anuncio oficial, Filecoin lanzó el Programa de Financiamiento de Orientación para Proveedores de Almacenamiento (FSPM), y los destinatarios calificados pueden obtener la consulta de un operador experto. Por tiempo limitado, 10 solicitantes calificados recibirán 10 horas de servicios de consultoría totalmente subsidiados (valorados en $4,000) como parte del lanzamiento de FSPM. [2022/4/19 14:34:01]

Los desarrolladores de FilFox y FileStar se pusieron en contacto con Binance lo antes posible y notificaron al funcionario de Filecoin lo antes posible.

Pomegranate Pool anunció documentos y secuencias de comandos de implementación de clústeres de Filecoin de código abierto: Pomegranate Pool anunció oficialmente que ha abierto los documentos de implementación y secuencias de comandos de los clústeres de Filecoin a la comunidad. De acuerdo con el contenido de la versión de código abierto, los usuarios pueden construir completamente un clúster de minería de Filecoin de forma independiente y completa, y pueden obtenerlo del grupo de minería de granada de forma gratuita:

1. Configuración de la máquina

2. Arquitectura del clúster

3. Software de edición comunitaria

4. Documentos y scripts de implementación

Se entiende que Pomegranate Pool, como uno de los mayores proveedores de servicios de minería de Filecoin, actualmente administra 315 nodos FIL, con una potencia informática total de 240+P, ocupando el primer lugar en toda la red.

El contenido relacionado con el código abierto se ha actualizado en Github, y los usuarios pueden consultarlo en la cuenta oficial de Pomegranate Pool o en el texto original [2021/4/20 20:40:23]

Las instituciones de custodia centralizadas, como los intercambios y las billeteras centralizadas, acreditarán a los usuarios de acuerdo con el comportamiento de transferencia en la cadena, por lo que es muy importante analizar de manera eficiente, precisa y oportuna el comportamiento de transferencia en la cadena.Todas las identificaciones de transacciones en el bloque, y luego obtener el contenido de la transacción correspondiente y los resultados de la ejecución de la transacción en función del ID de la transacción.

FILDA superó la marca de $ 1,4 y aumentó más del 128 % en un día: los datos del mercado muestran que el proyecto de préstamos Heco de la cadena ecológica Huobi FILDA aumentó rápidamente en un corto período de tiempo, superando la marca de $ 1,4, un aumento intradiario de más de 128 %, y ahora está en $ 1.3. El mercado fluctúa mucho. Por favor, haga un buen trabajo de control de riesgos. [2021/4/6 19:49:49]

El nodo de loto de Filecoin proporciona múltiples API para obtener transacciones en la cadena. Por ejemplo, ChainGetBlockMessages puede obtener todo el contenido de la transacción en un bloque específico, y StateGetReceipt puede obtener el resultado de la ejecución correspondiente a una ID de transacción específica. El intercambio que fue atacado esta vez adoptó este método Se utilizan dos API para analizar el comportamiento de transferencia en la cadena y, en función de esto, ingresar la cuenta para el usuario.

El código de la red principal de Filecoin se congelará el 30 de septiembre. La red principal puede lanzarse en octubre: el 3 de septiembre, Filecoin realizó oficialmente una conferencia telefónica en línea para los miembros de la comunidad global. El funcionario dijo que el código de la red principal se congelará pronto. Y el día antes de la reunión, el funcionario ha publicado el tiempo de progreso de la versión oficial de la red principal en GitHub: a partir del 4 de septiembre, el código de la red principal ya no agregará nuevas funciones. El ajuste se prueba y finalmente se optimiza, y el código está congelado el 30 de septiembre. Esto puede significar que la red principal de Filecoin puede lanzarse en octubre. [2020/9/4]

Sin embargo, no notaron que la interfaz StateGetReceipt tiene un diseño que no se ajusta al pensamiento lógico convencional, es decir, al obtener el resultado de ejecución del ID de transacción especificado, si la transacción ha sido reemplazada por RBF (reemplazar por tarifa), devolverá el éxito final de RBF El resultado de la ejecución de esa transacción, y no hay ninguna indicación en el valor de retorno de que este sea el resultado de la ejecución de la transacción después de RBF.

Supongamos que el atacante primero envía TX1, la ID de transacción correspondiente es TXID1, luego el atacante realiza RBF en TX1 para generar TX2, la ID de transacción correspondiente es TXID2 y finalmente TX2 se carga con éxito en la cadena. En este momento, si consulta TXID1 y TXID2 respectivamente a través de StateGetReceipt, puede obtener el resultado de ejecución correcto.

Después del ataque, el desarrollador oficial de Filecoin hizo una explicación complementaria a la API, aclaró la lógica de devolución de StateGetReceipt y descartará esta API después de la versión v1.

https://github.com/filecoin-project/lotus/pull/5838/files  

El equipo técnico de Cobo Custody ha descubierto los problemas anteriores en el proceso de conexión a Filecoin, por lo que en lugar de utilizar ChainGetBlockMessages y StateGetReceipt para obtener el comportamiento de transferencia en la cadena, utiliza ChainGetParentMessages y ChainGetParentReceipts para obtener transacciones que se han subido correctamente a la cadena. , con lo que se evita fundamentalmente Se evita el riesgo de ser una recarga de doble gasto, por lo que no se ve afectada por este ataque de recarga de doble gasto.

En el proceso de usar ChainGetParentMessages y ChainGetParentReceipts, el equipo técnico de Cobo Custody descubrió que algunos de los valores de retorno del nodo lotus no son muy consistentes con el pensamiento lógico convencional, por ejemplo, hay algunos problemas con el procesamiento de bloques vacíos. El equipo técnico de Custodia de Cobo lo ha gestionado correctamente y recuerda a otras instituciones de custodia centralizada que comprueben cuidadosamente el código de acoplamiento correspondiente para evitar otros ataques de recarga de doble gasto.

El doble gasto es usar los tokens de la transacción anterior para realizar transacciones nuevamente, lo que resulta en transacciones falsas.

En 2018, Bitcoin Gold (BTG) fue atacado maliciosamente por un minero. El minero controló temporalmente la cadena de bloques de BTG, retiró monedas rápidamente después de recargar el intercambio y luego invirtió el bloque, implementando con éxito un ataque de doble gasto. El atacante robó más de 388.200 BTG por un valor de hasta 18,6 millones de dólares, lo que lo convierte en uno de los ataques de doble gasto más famosos en la historia de la cadena de bloques.

Tags：

DOGE