3月19日凌晨,有社区用户反馈Filecoin主网存在双花风险,币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。
CoboCustody技术团队对此次Filecoin安全事件保持高度关注并进行了详细复盘:
Filecoin「双花」始末
据Filfox和FileStar的Filecoin矿工反馈,周三币安遭遇了价值数百万美元的FIL双花充值攻击。
起因为有一笔61,000FIL的交易所入账花费了太长时间,于是Filfox和FileStar矿工为了加速而发起了一笔RBF交易。而该笔RBF交易导致币安账户两次入金,最终入账120,000FIL。事后,Filfox和FileStar开发者回应称,Filecoin的RPC代码里存在“严重的漏洞”。该漏洞导致币安在看到两笔有冲突的交易后,选择了同时入账。?
美国SEC要求灰度撤回FIL信托申请:金色财经报道,灰度周三透露,美国证券交易委员会(SEC)要求其撤回其推出Filecoin(FIL)信托产品的申请。灰度在一份新闻稿中表示,它收到了联邦证券监管机构的意见书,称FIL \"符合证券的定义\"。灰度不认为FIL是联邦证券法规定的证券,并打算及时回复SEC工作人员,解释灰度立场的法律依据。Grayscale无法预测SEC工作人员是否会被说服,认为Grayscale的立场是正确的,如果不是,Grayscale是否有必要寻求调整,使信托基金能够根据《1940年投资公司法》注册,或者寻求解散信托基金。
行情显示,FIL的价格在备案的消息中下跌了近3%,然后略有反弹,现报价4.51美元。[2023/5/18 15:10:14]
FilFox和FileStar开发者已经第一时间联系了币安,并在第一时间通知了Filecoin官方。
DeFIL2.0平台创始节点初拟名单已公布:最新消息,经过DeFIL2.0多签委员会初轮审核,为FIL算力通证FILST提供算力服务的创始节点初拟名单已经公布。为了更好地实现生态全球化健康全面发展,本次创始节点的提名与选拔在全球范围内进行,经过多轮探讨,最终共有18个节点脱颖而出,分别是:f0128559、f0127595、f0688165、f01173126、f01173139、f01173170、f01108594、f0123261、f0441372、f0733242、f087999、f01170647、f01170716、f01170751、f0218293、f01173423、f02778、f02777。下一步,多签委员会还将对初拟名单内的创始节点进行进一步风控调研。[2021/8/20 22:26:25]
币安、OKex等交易所均已关闭Filecoin主网代币FIL的充值功能,CoboCustody也第一时间暂停了FIL的充值和提币。
Filecoin网络FIL目前流通量为1.5亿FIL:据IPFS100报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为960147,全网有效算力为7.989EiB,总质押量约为9427万枚FIL,活跃矿工数为2736个,每区块奖励为24.7045FIL,近24小时产出量为349661FIL,24小时平均挖矿收益为0.0421FIL/TiB,目前FIL流通量为1.5亿FIL。目前有效算力排名前三的分别为:f0127595(FILPool.me)以125.63PiB暂居第一,f0123261(LDPool)以115.11PiB位居第二,f0135467(RRM-雅典娜)以106.44PiB位居第三。[2021/7/24 1:13:12]
技术细节复盘
Web 3 项目FileStar文曲星将集成以太坊虚拟机::据官方消息,近日,FileStar文曲星社区开发者在Github上提交改进提案(SIP-0003: Bring EVM to FileStar),即将在FileStar上集成EVM(以太坊虚拟机)。该提案的基本开发已经完成,目前已进入测试阶段。
该提案正式实施之后,开发者将可以在FileStar上使用Solidity开发智能合约,为FileStar带来智能数据管理、资产发行等功能。
EVM(以太坊虚拟机)是以太坊生态的核心,也是目前应用最为广泛的链上虚拟机,有着十分成熟的开发与应用生态。FileStar上集成EVM(以太坊虚拟机),将促进其链上生态发展,更好的为Web 3互联网的发展提供基础设施,并服务于其他区块链项目。[2021/4/22 20:47:49]
交易所和中心化钱包等中心化托管机构会依据链上的转账行为给用户入账,因此如何高效、准确、及时的解析链上的转账行为是非常关键的,常见的做法是先获取某个区块内的所有交易ID,然后基于交易ID获取对应的交易内容和交易执行结果。
Filecoinlotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。
不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF,则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果。
攻击行为发生后,Filecoin官方开发人员对API进行了补充说明,明确了StateGetReceipt的返回逻辑,并将在v1版本后废弃此API
https://github.com/filecoin-project/lotus/pull/5838/files??
CoboCustody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlockMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
在使用ChainGetParentMessages和ChainGetParentReceipts的过程中,CoboCustody技术团队发现lotus节点的一些返回值也并不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。CoboCustody技术团队对此做了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。
双花即使用上一次交易的代币,再次进行交易,进而导致产生虚假交易。
2018年比特币黄金(BTG)就曾受到一名矿工的恶意攻击,该矿工临时控制了BTG区块链,在向交易所充值后迅速提币,再逆转区块,成功实施双花攻击。此次攻击者窃取超过388200个BTG,价值高达1860万美元,也是区块链史上最著名的双花攻击之一。
很多人知道有平行链插槽拍卖这件事,但是对于系统平行链、嵌套中继链、转接桥、蜡烛拍卖这些概念是不懂的。虽然我们不需要做币圈科学家,但是波卡作为今年的一大热点,身在币圈,这些概念还是需要了解的.
1900/1/1 0:00:00此文整合并翻译自@0xRafi发的推特thread1/由于Optimism团队发布了消息表示其主网上线时间将提前.
1900/1/1 0:00:00亲爱的库币用户,得益于近期连续震荡行情,库币交易机器人近日创下最高47,869%年化收益率记录!自上线以来,交易机器人不仅为用户创造丰厚收益,还帮助用户节省大量盯盘时间,深受好评!承蒙厚爱.
1900/1/1 0:00:00尊敬的用户:因域名解析问题,个别用户APP端出现故障无法交易;技术部门正加紧修复中;如您有需要可登录WEB端:网址https://www.wbfex.com/。进行交易,给您带来不便,敬请谅解.
1900/1/1 0:00:00此文整合并翻译自@0xRafi发的推特thread1/由于Optimism团队发布了消息表示其主网上线时间将提前.
1900/1/1 0:00:00目前,数字人民币试点工作正在稳步开展,经过几轮测试和两会热点之后,数字人民币仍然保持着良好的持续推进趋势.
1900/1/1 0:00:00