Se depositaron 4,6 millones de dólares en Filecoin en Binance; se ha abierto un exploit en otras plataformas de intercambio.

El mismo problema que el diseño de prueba de trabajo de Bitcoin pretendía detener ocurrió en la red Filecoin (FIL), bueno, más o menos.

Según los desarrolladores de Filfox y FileStar, Binance procesó un "doble depósito" de FIL el miércoles por valor de millones de dólares. Esto no es un doble gasto real en cadena, sino que Binance abonó dos veces la cuenta del minero de Filecoin 6Block (la empresa matriz de Filfox y Filestar) por un ONE depósito debido a un "error grave" en el código de llamada a procedimiento remoto (RPC) de Filecoin.

Un "doble gasto" ocurre cuando los mismos fondos en una blockchain se gastan dos veces; el algoritmo de prueba de trabajo de Bitcoin fue diseñado para que esto sea prácticamente imposible. Sin embargo, parece que los códigos RPC de Filecoin, un proyecto de blockchain para almacenamiento distribuido desarrollado por Protocol Labs, presentan una falla que permite a los usuarios engañar a las plataformas de intercambio para que acepten un depósito dos veces.

Sigue leyendo: El doble gasto de Bitcoin que nunca ocurrió

El canal RPC es el canal de información que utilizan las plataformas de intercambio para verificar la legitimidad de los depósitos. No verifican directamente. En su lugar, envían un mensaje a través del canal: "¿Es válido el depósito de esta persona?". Y reciben una respuesta de su nodo Filecoin , indicando si es válido o no, explicó el desarrollador de Bitcoin, Dustin Dettmer, en un mensaje a CoinDesk.

Sin embargo, agregó, el proceso que los desarrolladores de Filecoin dieron a los exchanges para verificar los depósitos incluye una falla crítica que permite a los usuarios depositar las mismas monedas repetidamente.

Esto permite a los hackers emitir un solo cheque y volver a depositarlo cuantas veces quieran, de forma similar a cómo los niños, en los juegos, solían atar cuerdas a las monedas para jugar eternamente con una sola moneda —dijo Dettmer—. Solo que aquí las consecuencias son más drásticas. Se podrían robar cantidades ilimitadas de fondos reales.

El accidente podría llamarse más correctamente un “doble depósito” porque este error no resultó en un doble gasto real, y los mineros que lo descubrieron creen haber encontrado otros casos también.

El error de "doble depósito" de Filecoin RBF

El colectivo 6Blockdescubrió el error El miércoles, tras explotarlo accidentalmente. Después de que una transacción de 61.000 FIL (con un valor aproximado de 4,6 millones de dólares) al exchange tardara demasiado, el equipo aumentó la comisión con una transacción de "reemplazo por comisión" (RBF) para acelerarla.

Una transacción de reemplazo por tarifa tiene lugar cuando un usuario transmite una nueva transacción para reemplazar una transacción anterior no confirmada y le asigna una tarifa de minería más alta, con el objetivo de acelerar su confirmación.

Sigue leyendo: La actualización de la red Filecoin ya está disponible y los mineros obtienen recompensas del 25% en bloque.

Sin embargo, esta transacción RBF provocó que el depósito apareciera dos veces en su cuenta de Binance, convirtiendo 61 000 FIL en 120 000 FIL. El problema es que los segundos 61 000 FIL nunca llegaron a la billetera de Binance; Binance fue engañado para que acreditara los depósitos dos veces debido a un error en los códigos RPC de Filecoin. El equipo alertó de inmediato a Binance y a Protocol Labs.

Básicamente, el error significó que Binance vio ambas transacciones, ignoró que eran conflictivas y aceptó ambas (para una transacción de reemplazo por tarifa, generalmente, la segunda transacción con la tarifa más alta se considera válida mientras que la primera se rechaza).

Cada intercambio con pares comerciales de Filecoin utiliza el mismo código RPC "StateGetReceipt" para procesar depósitos, por lo que el error es teóricamente explotable en cualquier intercambio que intercambie el token, dijo el equipo.

Protocol Labs sugirió que los exchanges obtengan los recibos de mensajes de RPC StateGetReceipt, que presenta un error grave. Cuando hay dos mensajes con el mismo remitente y el mismo nonce en la cadena (lo que implica un doble gasto), StateGetReceipt devuelve el mismo resultado para ambos, explicó un desarrollador de Filecoin a las empresas mineras en su correspondencia.

Como resultado, los depósitos de Filecoin en Binance, Huobi y otras plataformas se han suspendido, según informaron los mineros. CoinDesk contactó a las plataformas de intercambio Binance, Huobi y OKEx para verificar estas afirmaciones, pero solo recibió respuesta de Binance, quien indicó que los depósitos de FIL se reanudaron el 19 de marzo de 2021 a las 00:45 UTC y que los sistemas han vuelto a la normalidad.

Los desarrolladores de Filecoin tienen abrió un problema en GitHubpara trabajar en una solución y el equipo ha publicado un informe post-mortem siasuntoEn correspondencia con CoinDesk, negaron que la falla se debiera a un error de RPC y, en cambio, afirmaron que se originó por un "malentendido" y un "mal uso" por parte de Binance.

"No hay ningún error de RPC. El problema se debió al uso incorrecto de las API del exchange en cuestión. No conocemos ningún otro exchange que haya cometido un error similar", declaró el equipo de Filecoin. "El equipo colaborará con los exchanges para auditar sus mecanismos de depósito y evitar problemas futuros".

FIL es bajó un 4,5%en el dia.

Esta es una historia en desarrollo.

Actualizado el jueves 18 de marzo de 2021, 21:57 UTC: Se agregaron comentarios adicionales del equipo de Filecoin y se realizaron ediciones para aclarar que el exploit fue un "doble depósito" en Binance, no un "doble gasto" en cadena.

Actualizado el jueves 19 de marzo de 2021, 13:35: Se agregaron comentarios de Binance.