4,6 millions de dollars en Filecoin « doublement déposés » sur Binance ; exploitation possible sur d'autres plateformes d'échange.

Le problème même que la conception de preuve de travail de Bitcoin était censée résoudre s'est produit sur le réseau Filecoin (FIL) – enfin, en quelque sorte.

Selon les développeurs de Filfox et FileStar, Binance a traité mercredi un « double dépôt » de FIL d'une valeur de plusieurs millions de dollars. Il ne s'agit pas d'une véritable double dépense sur la chaîne, mais Binance a crédité le compte du mineur de Filecoin 6Block (société mère de Filfox et Filestar) à deux reprises pour un dépôt, en raison d'un « bug grave » dans le code d'appel de procédure à distance (RPC) de Filecoin.

Une « double dépense » se produit lorsque les mêmes fonds sur une blockchain sont dépensés deux fois ; l'algorithme de preuve de travail de Bitcoin a été conçu pour rendre cela quasiment impossible. Mais il semble que les codes RPC de Filecoin, un projet blockchain de stockage distribué développé par Protocol Labs, présentent une faille permettant aux utilisateurs de tromper les plateformes d'échange en acceptant un dépôt deux fois.

Sur le même sujet : La double dépense en Bitcoin qui n'a jamais eu lieu

« Le canal RPC est le canal d'information permettant aux plateformes d'échange de vérifier la légitimité des dépôts. Elles ne T à une vérification directe. Elles envoient un message via ce canal demandant : "Hé, le dépôt de ce client est-il valable ?" Et elles reçoivent une réponse de leur nœud Filecoin indiquant "oui" ou "non" », a expliqué le développeur Bitcoin Dustin Dettmer dans un message à CoinDesk.

Cependant, a-t-il ajouté, le processus que les développeurs de Filecoin ont donné aux échanges pour vérifier les dépôts comprend une faille critique qui permet aux utilisateurs de déposer les mêmes pièces à plusieurs reprises.

« Cela permet aux pirates d'émettre un seul chèque et de le re-déposer autant de fois qu'ils le souhaitent, un peu comme les enfants, dans les salles de jeux, attachaient des ficelles à des pièces de 25 cents pour jouer indéfiniment avec une seule pièce », a expliqué Dettmer. « Sauf qu'ici, les conséquences sont plus graves. Des sommes d'argent réelles illimitées pourraient être volées. »

L'incident pourrait plus correctement être appelé un « double dépôt » car ce bug n'a pas entraîné une véritable double dépense, et les mineurs qui l'ont découvert pensent avoir également trouvé d'autres cas.

Le bug « double dépôt » de Filecoin RBF

Le collectif 6Blockdécouvert le bug Mercredi, après une exploitation accidentelle. Après qu'une transaction de 61 000 FIL (d'une valeur d'environ 4,6 millions de dollars) vers la plateforme d'échange ait pris trop de temps, l'équipe a augmenté les frais grâce à une transaction de « remplacement par frais » (RBF) pour accélérer le processus.

Une transaction de remplacement par frais a lieu lorsqu'un utilisateur diffuse une nouvelle transaction pour remplacer une transaction plus ancienne et non confirmée et lui associe des frais de minage plus élevés, dans le but d'accélérer sa confirmation.

Sur le même sujet : La mise à niveau du réseau Filecoin est lancée, les mineurs réclament 25 % de récompenses par bloc

Cependant, cette transaction RBF a entraîné une double apparition du dépôt sur leur compte Binance, transformant ainsi 61 000 FIL en 120 000 FIL. Le problème est que les 61 000 FIL restants n'ont jamais été crédités sur le portefeuille Binance : Binance a été piégé et a crédité les dépôts deux fois à cause d'un bug dans les codes RPC de Filecoin. L'équipe a immédiatement alerté Binance et Protocol Labs.

Essentiellement, le bug signifiait que Binance voyait les deux transactions, ignorait qu'elles étaient en conflit et acceptait les deux (pour une transaction de remplacement par frais, généralement, la deuxième transaction à frais plus élevés est considérée comme valide tandis que la première est rejetée).

Chaque échange avec des paires de trading Filecoin utilise le même code RPC « StateGetReceipt » pour traiter les dépôts, donc le bug est théoriquement exploitable sur n'importe quel échange qui échange le jeton, a déclaré l'équipe.

Protocol Labs a suggéré que les plateformes d'échange récupèrent les accusés de réception des messages depuis RPC StateGetReceipt, ce qui présente un bug important. Lorsque deux messages ont le même expéditeur et le même nonce sur la chaîne (ce qui entraîne une double dépense), StateGetReceipt renvoie le même résultat pour les deux », a déclaré un développeur de Filecoin aux sociétés minières dans leur correspondance.

Les dépôts de Filecoin sur Binance, Huobi et d'autres plateformes ont été interrompus en conséquence, ont indiqué les mineurs. CoinDesk a contacté les plateformes d'échange populaires Binance, Huobi et OKEx pour vérifier ces informations, mais n'a reçu de réponse que de Binance, qui a indiqué que les dépôts FIL « ont repris le 19 mars 2021 à 00h45 UTC et que les systèmes sont revenus à la normale ».

Les développeurs de Filecoin ont a ouvert un problème GitHubtravailler sur un correctif et l'équipe a publié un post-mortem si leproblèmeDans une correspondance avec CoinDesk, ils ont nié que la faille résultait d'une erreur RPC et ont plutôt affirmé qu'elle provenait d'un « malentendu » et d'une « mauvaise utilisation » de la part de Binance.

« Il n'y a pas de bug RPC. Le problème résulte d'une mauvaise utilisation des API de la plateforme d'échange concernée. À notre connaissance, aucune autre plateforme d'échange n'a commis une erreur similaire », a déclaré l'équipe de Filecoin. « L'équipe collaborera avec les plateformes d'échange pour auditer leur mécanisme de dépôt afin d'éviter de futurs problèmes. »

FIL est en baisse de 4,5 %le jour même.

C'est une histoire en développement.

Mis à jour le jeudi 18 mars 2021 à 21h57 UTC : Des commentaires supplémentaires de l'équipe Filecoin ont été ajoutés et des modifications ont été apportées pour clarifier que l'exploit était un « double dépôt » sur Binance, et non une « double dépense » sur la chaîne.

Mis à jour le jeudi 19 mars 2021, 13:35 : Commentaires de Binance ajoutés.