Web3物理基础设施项目FileStar文曲星今日在Github发布白皮书,宣布项目启动。在白皮书中,FileStar提出将基于Filecoin进行分叉和迭代,并实现现有Filecoin矿工权益的无缝映射。
安全提醒:警惕Filecoin RBF假充值攻击:据慢雾区消息,Filecoin出现“双花交易”,多家交易所关闭FIL充值通道。慢雾安全团队对相关信息分析发现,这是一起Filecoin的RBF假充值攻击事件而非”双花攻击“。攻击者预先发送一笔低gas-feecap的交易,然后通过提高gas-premium和gas-feecap替换原交易(RBF交易),此时RBF交易优先被打包上链,旧交易被丢弃,但是由于FilecoinlotusRPC有一个特性,在查询旧交易的执行状态时(使用lotusstateexec-trace命令或者通过REST接口Filecoin.StateGetReceipt获取)返回的是RBF交易的执行状态,导致交易所对两笔交易重复入账。
慢雾安全团队提醒交易所及相关钱包方,在充值入账时,需要对比查询返回结果中的cid与查询的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比,避免重复入账。与此前慢雾区发现的假充值攻击不同的是,此次攻击方法更加隐蔽,是由于Filecoin节点特性所引起,交易所及相关钱包方应再次检查充值入账程序,除了RBF外,还有常规的To、Value、转账类型Method,以及执行结果ExitCode等字段的校验,必要时可请安全审计公司协助检测。[2021/3/19 19:00:10]
根据白皮书介绍,FileStar项目将取消前置抵押,同时进行了不少技术创新,例如,实现新的P1封装算法提高封装效率;引入递归零知识证明技术,实现消息的链下聚合,提高全网的TPS;在WindowPoST中,引入VRF随机抽查技术,减少矿工的抽查次数。除此之外,FileStar不同于Filecoin只激励存储证明,FileStar将逐步实现对存储资源、计算资源和带宽资源的激励,实现分布式的存储、可验证计算、可度量带宽的分布式互联网物理基础设施。
神鱼:Filecoin lotus节点的一些返回值不是很符合常规逻辑:神鱼及Cobo官方今日给出Filecoin“双花攻击”细节:Filecoin lotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF(replace by fee),则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果!
Cobo Custody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlotckMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的过程中,Cobo Custody技术团队发现lotus节点的一些返回值也不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。Cobo Custody技术团队对此作了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。[2021/3/19 19:00:06]
据了解,FileStar计划于10月30日,公开源代码,并上线主网。
Filecoin网络目前总质押量约为4423万枚FIL:据IPFS100.com报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为551204,全网有效算力为2.905EiB,总质押量约为4423万枚FIL,活跃矿工数为1469个,每区块奖励为23.1015FIL,近24小时产出量为315010FIL,24小时平均挖矿收益为0.1040FIL/TiB,目前FIL流通量为94558524FIL。
目前有效算力排名前三的分别为:F01248(智合云zh)以75.18暂居第一,F02770(时空云&灵动)以72.63PiB位居第二,F0127595(时空云)以52.63PiB位居第三。[2021/3/4 18:14:38]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。