币安上价值460万美元的FIL出现假双花，Filecoin方否认存在RPC代码漏洞

Posted 2021-04-23 区块链铅笔Blockchain

点击上方

“蓝色字”

可关注我们！

暴走时评： 据悉，币安在周三处理了一笔价值数百万美元的FIL“双倍存款”，尽管并未导致真正的双花。对此，币安方面称这是由于Filecoin的远程过程调用代码存在“严重漏洞”；而Filecoin否认该缺陷是由RPC错误导致的，认为是相关交易所对API的不正确使用导致了此次问题。

作者：Colin Harper   |   编译者：Maya   |   来源：CoinDesk

比特币的工作量证明 (PoW) 机制所针对的问题刚刚发生在Filecoin（FIL）网络上 — 嗯，算是吧。

据Filfox和FileStar的Filecoin矿工称，币安在周三处理了一笔价值数百万美元的FIL“双倍存款”。这并不是真正的链上双花 (double spend)，但由于Filecoin的远程过程调用（RPC）代码存在“严重漏洞”，币安在一次存款后向矿工的Filecoin账户记入了两次存款。

当区块链上的同一笔资金被花掉两次时，就会出现所谓的“双花”；比特币的PoW算法的设计目标是使这种情况几乎不可能发生。但似乎Filecoin（Protocol Labs打造的分布式存储区块链项目）的RPC代码存在一个缺陷，用户可以欺骗交易所记入两次存款。

“RPC通道是交易所验证存款是否合法的信息通道。他们不会直接验证。相反，他们通过通道发送一条信息说：‘嘿，这个人的存款有问题吗？’ 然后他们会从FileCoin的软件中得到回复，’有’或者‘没有’，” 比特币开发者Dustin Dettmer在给CoinDesk的信息中解释道。

然而，他补充说，Filecoin开发人员给交易所验证存款的过程存在一个关键的缺陷，允许用户重复存入同一笔代币。

“这让黑客可以只写一张支票，但随意重新存入多次—类似于孩子们在电玩城里，习惯把绳子绑在五角硬币上，用一枚硬币永远玩下去，” Dettmer说。“只不过这里的后果更严重。无限数量的真实资金可能被盗取。”

这个事故更正确的说法可以叫做“双倍存款”，因为这个漏洞并没有导致真正的双花，而发现这个漏洞的矿工相信他们也发现了其他的实例。

Filecoin的RBF“双倍存款”漏洞

周三，Filfox和FileStar挖矿小组在意外利用该漏洞后，发现了问题。在交易所进行6.1万颗FIL交易（价值约460万美元）耗时过长后，该团队用“replace-by-fee”（RBF）技术来加快交易速度。

RBF交易是指用户广播一个新的交易来替换一个旧的、未确认的交易，并在其中附加较高的挖矿费用，目的是加快其确认速度。

然而，这笔RBF交易导致存款在他们的币安账户中被记入两次，将6.1万FIL变成了12万FIL。问题是，第二笔6.1万FIL从未真正打入币安的钱包—由于Filecoin的RPC代码存在漏洞，币安被迷惑而两次记入存款。该团队立即提醒了币安和Protocol Labs。

本质上，这个漏洞意味着币安看到了两笔交易，但忽略了它们是冲突的，并同时接受了这两笔交易（对于RBF交易，通常情况下，第二笔费用较高的交易被认为是有效的，而第一笔则会被拒绝）。

该团队表示，每个有Filecoin交易对的交易所都使用相同的“StateGetReceipt” RPC代码来处理存款，因此理论上该漏洞在任何交易该代币的交易所上都可以被利用。

“ Protocol Labs建议交易所从RPC StateGetReceipt中获取消息收据，这存在一个严重的漏洞。当链上有两个相同发送者和相同随机数的消息时，(这意味着双花)，StateGetReceipt会对这两个消息返回相同的结果，“ Filecoin的一位开发者在他们的通信中告诉该挖矿公司。

Filecoin开发者已经在GitHub上开了一个问题，致力于修复该漏洞。在与CoinDesk的通信中，他们否认该缺陷是由RPC错误导致的，而声称它源于币安客户端的错误。

“不存在RPC错误。这个问题是由于相关交易所对API的不正确使用导致的。我们不知道有任何其他交易所犯了类似的错误。” Filecoin的团队表示。“团队将与交易所合作，对其存款机制进行审计，以避免未来出现问题。”

FIL当天下跌了4.5%。

本文仅代表作者个人观点，不代表区块链铅笔的立场，不构成投资建议，内容仅供参考。

|（英文动画）

|

|

|

|

回复关键词可以查阅资料，以下是部分关键词

回复 WEF ，查看《WEF：世界经济论坛认为区块链是互联网金融行业的未来报告》

回复 智能合约 ，查看《巴克莱银行报告》

回复 moody ，查看《穆迪120个区块链项目报告》

回复 SWIFT ，查看SWIFT《区块链对证券交易全流程产生的影响及潜力》报告

回复 论文11 ，查看论文《可扩展的去中心区块链》

回复 埃森哲2 ，查看埃森哲《区块链每年可以为投资银行节省120亿美元》报告

回复 联合国报告 ，查看联合国报告《数字货币和区块链技术在构建社会和可信金融之间扮演的角色》

回复 用户特性 ，查看普林斯顿大学首本比特币教科书初稿《比特币用户的特性（Characteristics of Bitcoin Users）》

回复 普林斯顿 ，查看普林斯顿大学首本比特币教科书初稿《比特币和数字货币技术（Bitcoin and Cryptocurrency Technologies）》

回复 IMF，查看国际货币基金组织报告《Virtual Currencies and Beyond: Initial Considerations》

回复 DTCC ，查看美国存管信托清算公司报告《DTCC: 拥抱分布式》

回复 广发 ，查看报告《科技前沿报告：区块链：正快速走进公众和政策视野》

回复 川财1 ，查看报告《川财证券：区块链技术调研报告之一：具有颠覆所有行业的可能性》

回复 川财2 ，查看报告《川财证券：区块链技术调研报告之二：区块链技术进化论-区块链技术的国内实践和展望》

回复 桑坦德 ，查看桑坦德银行报告《The Fintech 2.0 Paper: rebooting financial services》

回复 拜占庭 ，查看《拜占庭将军问题详解》

回复 论文1 ，查看论文《比特币闪电网络：可扩展的离线即时支付》

回复 论文2 ，查看论文《比特币骨干协议》

回复 论文3 ，查看论文《数字货币是否应该进入Barbados央行国际储备货币组合中》

点击下方“阅读原文”查看更多，页面出现后再点击“来源”可以查看译文原文链接 

↓↓↓