本文來自于FilecoinNetwork。
2021年3月18日,有報道稱,由于Filecoin的遠程過程調用代碼存在"嚴重漏洞",出現了"雙花"。這些說法是不正確的且具有強烈誤導性。
Lotus團隊對該報告進行了徹底調查,沒有發現任何Filecoin網絡和RPCAPI代碼的相關問題。鏈本身不存在雙花問題,API代碼也沒有錯誤。有關交易所已經修正了該交易所內的錯誤交易記錄,并正在審查他們記賬系統中的充值處理邏輯,以改正他們的API使用。
事件回顧
事件報告—今日早前,Lotus團隊收到交易所錯誤使用LotusAPI來計算Filecoin網絡中的轉賬/存款。API錯誤使用情況是因為用戶報告了交易所他們的帳戶被交易所記賬系統錯誤地重復記錄。這一問題已在交易所記賬系統恢復—鏈上本身并沒有重復記錄。
Filecoin網絡目前總質押量約為4574萬枚FIL:據IPFS100.com報道,Filfox瀏覽器數據顯示,Filecoin網絡當前區塊高度為562658,全網有效算力為3.046EiB,總質押量約為4574萬枚FIL,活躍礦工數為1503個,每區塊獎勵為23.6264FIL,近24小時產出量為331992FIL,24小時平均挖礦收益為0.1050FIL/TiB,目前FIL流通量為96605780FIL。
目前有效算力排名前三的分別為:F01248(智合云zh)以75.49暫居第一,F02770(時空云&靈動)以72.63PiB位居第二,F0127595(時空云)以57.82PiB位居第三。[2021/3/8 18:24:50]
?API誤解?—該問題的核心是對于Lotus的鏈狀態檢查API使用不當,在處理多個類似消息時,其處理方式與所期待的不同。誤解LotusAPI的輸出會導致記賬系統將原始消息和替換消息都算作相同的發送者和接收者。到目前為止,我們只知道有一個交易所受到這個問題的影響。
SFIL聯合發起人Bit Gu:SFIL讓Filecoin挖礦變得簡單:2021年02月01日晚,由Gate.io主辦的直播專訪節目《酒局幣赴》邀請到SFIL聯合發起人Bit Gu直播分享近期最新發展。直播期間Bit Gu與Gate.io合伙人酒兒就用戶關心的SFIL是如何降低Filecoin挖礦門檻的以及相關事項進行了探討與交流。
Bit Gu指出,SFIL是錨定Filecoin算力的標準滿存算力通證,每一個SFIL錨定0.01T Filecoin滿存算力,用戶持有SFIL就可以獲得相對應的Filecoin挖礦收益,同時,用戶還可以在二級市場交易SFIL,隨時釋放自己的資金流動性。可以說, SFIL通過一套標準算力的機制,降低Filecoin挖礦門檻,建立Filecoin挖礦標準,擴展Filecoin挖礦行業生態,同時打開了限制新老礦工的Filecoin挖礦天花板,真正踐行“ 打破Filecoin挖礦行業的黑匣子,和優先的礦業服務商共建行業標準算力”的項目初衷,讓Filecoin挖礦這件事變得不再復雜。[2021/2/1 18:38:14]
虛假報道成為文章標題—有關網絡“雙花”的不正確陳述在社交媒體渠道中傳播,并進入文章標題。這些報道中的內容已被調查并確定為錯誤信息。團隊并沒有發現Filecoin網絡或RPCAPI代碼的問題。在了解了事實之后,許多團隊和媒體機構正在糾正其報道。
中幣子平臺ZBG上線FIL?并開放FIL/USDT交易:據ZBG官方消息,ZBG交易所已支持FIL (Filecoin)充幣業務,并將在(今日)10月16日10:30開放FIL/USDT交易。
據悉,ZBG交易所曾在早期推出Filecoin六月期貨-FIL6Z低價申購活動、Filecoin云算力補貼活動作為ZBG用戶福利,目前Filecoin主網上線后,ZBG將支持FIL6Z線性解鎖的方式釋放流通量,為FIL6Z持倉用戶FIL代幣兌換。ZBG將持續支持存儲板塊生態發展,更多詳情見ZBG官網。[2020/10/16]
正在采取的行動
受到影響的交易所—有關交易所發現了這對于API的錯誤使用,并已立即采取行動,停止充值、提現和轉賬。他們已經恢復了有關的錯誤交易,并正在糾正他們對LotusAPI的使用,以符合推薦的使用方法。?
金色相對論|啟航在即,論Filecoin挖礦的機遇與挑戰:5月20日19:00,金色財經邀請到嘉楠區塊鏈技術負責人彭上坤、IPFS中國社區創始人楚航、原力區(榮來)首席技術官黑哥、星際大陸董事長李彥東、Coinsummer實驗室負責人-K-做客「金色相對論」,跟你一起聊聊filecoin挖礦的機遇和挑戰,敬請期待![2020/5/20]
偶發案例—其他交易所已經收到預警,正在審查他們的代碼邏輯,以確保他們不受同樣錯誤的影響。其中許多審查已經完成——據我們所知,目前還沒有其他交易所以這種方式錯用API。
Lotus團隊—Lotus團隊正在積極與所有交易所合作,以確保正確處理這一行為,并改進API文檔(https://github.com/filecoin-project/lotus/pull/5838),確保所有其他交易所正確檢查Filecoin的鏈狀態。
社區和媒體—一些團隊正在共同努力,與媒體聯系,澄清所稱事件的細節和事實,并幫助消除錯誤信息。
社區團隊—社區成員提供可以幫助其他社區成員準確、周到地報告問題的方法,避免意外傳播錯誤信息。
技術細節
相同信息—?就lotus團隊所知問題源自于有兩條消息有相同的發送者/收到者詳細信息、相同的nonce但擁有不同的Gas參數——被包含在同一tipset中。像這樣兩個類似的消息是非常常見的,比如以改變與消息的Gas費來替代消息就會形成這樣兩條類似的消息。這樣的情況會由Filecoin網絡安全、正確地處理,不會導致兩次轉賬:兩條消息中的一條會被執行,另一條被忽略。
錯誤使用API—然而,根據人們對鏈的檢查方式,這會呈現出消息被處理了兩次的樣子。具體來說,有關交易所使用了一種錯誤的處理鏈狀態的方式——在tipset的每個塊上調用ChainGetBlockMessages,然后在這些消息上調用StateGetReceipt。
錯誤的API期望—容易引發錯誤的地方是,當StateGetReceipt被調用在兩個相似的消息上,它將提供相同的結果給人感覺兩種消息都被執行了。這誠然是一種違背直覺思維的行為,但卻是有意為之。StateGetReceipt的主要應用場景是在Lotus礦工和處理交易過程中使用的事件處理程序中。在消息被替換的情況下,這些模塊并不關心返回的信息是對應原始消息,還是對應替換的消息——它們只是想知道消息是否在鏈上成功執行。我們已經在這里的文檔中增加了澄清:https://github.com/filecoin-project/lotus/pull/5838。
使用正確的API—大多數交易所都是正確使用了ChainGetParentMessages和ChainGetParentReceipts來記賬,以計算出鏈上執行了什么消息、哪些消息成功了。這些都是Lotus本身在鏈state計算過程中使用的API,以保證使用者能通過這種方式正確反映鏈狀態。對每一條消息執行StateReplay,可以得到完整的調用結果,這樣使用者就可以將返回的InvocResult中的MsgCid與查詢消息的CID進行比較。這是推薦交易所的正確檢查鏈狀態并保持內部報告系統同步的步驟。
本文發布于巴比特資訊,作者:灑脫喜。兵者,詭道也,故能而示之不能,用而示之不用,近而示之遠,遠而示之近——《孫子兵法·計篇》古人以大智慧提出了戰爭制勝的一些訣竅,而這些技巧放在今天的加密網絡戰爭.
1900/1/1 0:00:00鏈捕手消息,波卡生態跨鏈隱私中間件協議RazeNetwork通過推特宣布完成私募輪融資,具體金額暫未披露.
1900/1/1 0:00:00本文系鏈捕手原創文章,作者谷昱。越來越多DeFI項目選擇向用戶空投,以回報早期支持用戶,其中一些優質項目的空投價值相當不菲,例如Uniswap去年9月的空投如今已經價值1萬美元,因此許多讀者也都.
1900/1/1 0:00:00鏈捕手消息,以太坊隱私技術解決方案Aztec宣布正式在主網上啟動Aztec2.0Rollup,目前已啟用針對ETH的隱私Rollup服務和區塊瀏覽器,未來幾周將添加ERC-20代幣.
1900/1/1 0:00:00鏈捕手消息,距離主網啟動還有一周之際,CasperAssociation宣布在CoinList上完成了通證銷售第一階段。CoinList在宣布CSPR銷售的消息后收到了超10倍的認購登記.
1900/1/1 0:00:00鏈捕手消息,據門戶網站bitcointreasuries.org的數據顯示,目前有42家公司持有價值超過650億美元的比特幣.
1900/1/1 0:00:00