$4.6M sa Filecoin 'Double Deposited' sa Binance; Exploit Open sa Iba Pang Exchange

Ang mismong problema sa disenyo ng patunay-ng-trabaho ng Bitcoin ay sinadya upang ihinto ay naganap lamang sa Filecoin (FIL) network – well, uri ng.

Ayon sa mga developer sa Filfox at FileStar, ang Binance ay nagproseso ng "double deposit" ng FIL noong Miyerkules na nagkakahalaga ng milyun-milyong dolyar. Hindi ito totoo, on-chain na dobleng paggastos, ngunit na-kredito ng Binance ang account para sa Filecoin miner na 6Block (ang magulang ng Filfox at Filestar) nang dalawang beses para sa ONE deposito dahil sa isang “seryosong bug” sa remote procedure call (RPC) code ng Filecoin.

Ang "double spend" ay nangyayari kapag ang parehong mga pondo sa isang blockchain ay ginastos ng dalawang beses; Ang algorithm ng proof-of-work ng Bitcoin ay idinisenyo upang gawin itong isang virtual na imposible. Ngunit lumilitaw na ang mga RPC code para sa Filecoin, isang blockchain na proyekto para sa distributed storage na binuo ng Protocol Labs, ay nagtatampok ng isang depekto kung saan ang mga user ay maaaring linlangin ang mga palitan sa pagtanggap ng deposito ng dalawang beses.

Read More: Ang Bitcoin Double-Spend na Hindi Nangyari

"Ang channel ng RPC ay ang channel ng impormasyon para sa mga palitan upang i-verify na lehitimo ang mga deposito. T sila direktang nagbe-verify. Sa halip, nagpapadala sila ng mensahe sa pamamagitan ng channel na nagsasabing, 'Uy, maganda ba ang deposito ng taong ito?' At nakakakuha sila ng tugon mula sa kanilang Filecoin node na nagsasabing 'oo' o 'hindi,'” ipinaliwanag ng developer ng Bitcoin na si Dustin Dettmer sa isang mensahe sa CoinDesk.

Gayunpaman, idinagdag niya, ang prosesong ibinigay ng mga developer ng Filecoin sa mga palitan upang i-verify ang mga deposito ay may kasamang kritikal na depekto na nagpapahintulot sa mga user na magdeposito ng parehong mga barya nang paulit-ulit.

"Pinapayagan nito ang mga hacker na magsulat ng isang tseke ngunit muling i-deposito ito nang maraming beses hangga't gusto nila - katulad ng kung paano ang mga bata, sa arcade, ay ginamit upang itali ang mga string sa quarters upang maglaro nang walang hanggan gamit ang isang solong barya," sabi ni Dettmer. "Maliban dito ang mga kahihinatnan ay mas marahas. Walang limitasyong halaga ng tunay na pondo ay maaaring nakawin."

Ang sakuna ay maaaring mas tama na tawaging isang "double-deposit" dahil ang bug na ito ay hindi nagresulta sa isang tunay na dobleng paggastos, at ang mga minero na nakatuklas nito ay naniniwala na nakahanap din sila ng iba pang mga pagkakataon.

Ang Filecoin RBF 'double deposit' bug

Ang 6Block collective natuklasan ang bug Miyerkules matapos itong aksidenteng pagsamantalahan. Matapos ang isang 61,000 FIL na transaksyon (nagkakahalaga ng humigit-kumulang $4.6 milyon) sa palitan ay masyadong tumagal, ang koponan ay bumagsak sa bayad sa isang "replace-by-fee" (RBF) na transaksyon upang mapabilis ito.

Ang transaksyong palitan ayon sa bayad ay nagaganap kapag ang isang user ay nag-broadcast ng isang bagong transaksyon upang palitan ang isang mas luma, hindi nakumpirmang transaksyon at nag-attach ng mas mataas na bayad sa pagmimina dito, na may layuning mapabilis ang pagkumpirma nito.

Read More: Naging Live ang Pag-upgrade ng Filecoin Network, Nag-claim ang mga Minero ng 25% Block Rewards

Ang transaksyon ng RBF na ito, gayunpaman, ay nagresulta sa pagpapakita ng deposito sa kanilang Binance account nang dalawang beses, na epektibong naging 61,000 FIL sa 120,000 FIL. Ang problema ay ang pangalawang 61k FIL na hindi kailanman tumama sa wallet ni Binance – Nalinlang si Binance sa pag-kredito ng mga deposito nang dalawang beses dahil sa isang bug sa mga RPC code ng Filecoin. Agad na inalerto ng koponan ang Binance at Protocol Labs.

Sa esensya, ang ibig sabihin ng bug ay nakita ng Binance ang parehong mga transaksyon, binalewala na ang mga ito ay sumasalungat at tinanggap ang pareho (para sa isang transaksyon na palitan ayon sa bayad, kadalasan, ang pangalawa, mas mataas na transaksyon sa bayad ay itinuturing na wasto habang ang una ay tinanggihan).

Ang bawat exchange sa Filecoin trading pairs ay gumagamit ng parehong "StateGetReceipt" RPC code upang iproseso ang mga deposito, kaya ang bug ay theoretically exploitable sa anumang exchange na nakikipagpalitan ng token, sabi ng team.

"Iminungkahi ng Protocol Labs na ang mga palitan ay kumuha ng mga resibo ng mensahe mula sa RPC StateGetReceipt, na may malubhang bug. Kapag mayroong dalawang mensahe na may parehong nagpadala at parehong hindi on-chain, (na nangangahulugang double-spend), ibinabalik ng StateGetReceipt ang parehong resulta para sa kanilang dalawa," sinabi ng isang Filecoin developer sa mga mining firm sa kanilang sulat.

Ang mga deposito para sa Filecoin sa Binance, Huobi at iba pa ay nahinto bilang resulta, sinabi ng mga minero. Naabot ng CoinDesk ang mga sikat na palitan ng Binance, Huobi at OKEx upang i-verify ang mga claim na ito, ngunit narinig lamang mula sa Binance, na nagsabi na ang mga deposito ng FIL ay "nagpatuloy noong Marso 19, 2021 sa 00:45 UTC at ang mga sistema ay bumalik sa normal."

Ang mga developer ng Filecoin ay mayroon nagbukas ng isyu sa GitHub upang gumawa ng pag-aayos at ang koponan ay nag-publish ng isang post-mortem kung ang isyu. Sa pakikipagsulatan sa CoinDesk, itinanggi nila na ang kapintasan ay nagresulta mula sa isang error sa RPC at sa halip ay inaangkin na ito ay nagmula sa "hindi pagkakaunawaan" at "maling paggamit" sa dulo ng Binance.

"Walang RPC bug. Ang isyu ay nagresulta mula sa maling paggamit ng mga API mula sa pinag-uusapang palitan. Hindi namin alam ang anumang iba pang palitan na nakagawa ng katulad na pagkakamali," sabi ng koponan ng Filecoin. "Makikipagtulungan ang koponan sa mga palitan upang i-audit ang kanilang mekanismo ng deposito upang maiwasan ang mga isyu sa hinaharap."

Ang FIL ay bumaba ng 4.5% sa araw.

Ito ay isang umuunlad na kuwento.

Na-update Huwebes, Marso 18, 2021, 21:57 UTC: Ang mga karagdagang komento mula sa Filecoin team ay idinagdag at ginawa ang mga pag-edit upang linawin na ang pagsasamantala ay isang "double deposit" sa Binance, hindi isang "double spend" on-chain.

Na-update Huwebes, Marso 19, 2021, 13:35: Idinagdag ang mga komento mula sa Binance.