James Fickel

James Fickel

James Fickel fue anteriormente aprendiz de desarrollo de software en Prototypal y también hizo una pasantía en OpenGov.

Shenyu: algunos valores de retorno de los nodos de loto de Filecoin no están en línea con la lógica convencional: Shenyu y Cobo dieron detalles oficialmente del "ataque de doble gasto" de Filecoin hoy: los nodos de loto de Filecoin proporcionan varias API para obtener transacciones en la cadena, como ChainGetBlockMessages Puede obtener todo el contenido de la transacción en el bloque especificado y StateGetReceipt puede obtener el resultado de la ejecución correspondiente al ID de la transacción especificada. El intercambio que fue atacado esta vez usa estas dos API para analizar el comportamiento de transferencia en la cadena y, en base a esto , ingrese la cuenta para el usuario . Sin embargo, no notaron que la interfaz StateGetReceipt tiene un diseño que no se ajusta al pensamiento lógico convencional, es decir, al obtener el resultado de ejecución del ID de transacción especificado, si la transacción ha sido RBF (reemplazar por tarifa), será devolver el éxito final de RBF El resultado de la ejecución de esa transacción, y no hay ninguna indicación en el valor de retorno de que este sea el resultado de la ejecución de la transacción después de RBF.

Supongamos que el atacante primero envía TX1, la ID de transacción correspondiente es TXID1, luego el atacante realiza RBF en TX1 para generar TX2, la ID de transacción correspondiente es TXID2 y finalmente TX2 se carga con éxito en la cadena. En este momento, consulta TXID1 y TXID2 por separado a través de StateGetReceipt, ¡y podrás obtener el resultado correcto!

El equipo técnico de Cobo Custody ha descubierto los problemas anteriores en el proceso de conexión a Filecoin, por lo que en lugar de utilizar ChainGetBlotckMessages y StateGetReceipt para obtener el comportamiento de transferencia en la cadena, utiliza ChainGetParentMessages y ChainGetParentReceipts para obtener transacciones que se han subido correctamente a la cadena. , para evitar fundamentalmente Se evita el riesgo de ser una recarga de doble gasto, por lo que no se ve afectada por este ataque de recarga de doble gasto.

Además, en el proceso de uso de ChainGetParentMessages y ChainGetParentReceipt, el equipo técnico de Cobo Custody descubrió que algunos valores de retorno del nodo lotus no son muy consistentes con el pensamiento lógico convencional, por ejemplo, hay algunos problemas con el procesamiento de bloques vacíos. . El equipo técnico de Cobo Custody ha manejado correctamente este problema y, por la presente, recuerda a otros custodios centralizados que deben verificar cuidadosamente los códigos de acoplamiento relevantes para evitar otros ataques de recarga de doble gasto. [2021/3/19 19:00:06]

TRX ha aterrizado oficialmente en Bitinka: según las últimas noticias, TRX ha aterrizado oficialmente en Bitinka y abrió los pares comerciales TRX/BTC, TRX/USDT, TRX/ETH. Se informa que TRON tiene como misión promover la descentralización de Internet y está comprometida con la construcción de infraestructura para Internet descentralizada. Su protocolo TRON es uno de los protocolos de sistema operativo de aplicaciones descentralizadas basado en blockchain más grandes del mundo, que proporciona soporte de cadena pública subyacente de alto rendimiento, alta escalabilidad y alta confiabilidad para operaciones de aplicaciones descentralizadas en el protocolo.

TRON también proporciona una mejor compatibilidad para los contratos inteligentes de Ethereum a través de una innovadora plataforma conectable de contratos inteligentes. [2020/10/19]

Tags：James FickelEtéreo

oficial

• 

  Facebook

• 

  Twitter

• 

  Weibo

• 

  YouTube