$4,6 milioni in Filecoin 'depositati due volte' su Binance; exploit aperto su altri exchange

Il problema stesso che la progettazione della proof-of-work di Bitcoin avrebbe dovuto risolvere si è appena verificato sulla rete Filecoin (FIL), o meglio, più o meno.

Secondo gli sviluppatori di Filfox e FileStar, Binance ha elaborato mercoledì un "doppio deposito" di FIL del valore di milioni di dollari. Non si tratta di una vera e propria doppia spesa on-chain, ma Binance ha accreditato l'account del miner Filecoin 6Block (la società madre di Filfox e Filestar) due volte per ONE deposito a causa di un "grave bug" nel codice della chiamata di procedura remota (RPC) di Filecoin.

Una "doppia spesa" si verifica quando gli stessi fondi su una blockchain vengono spesi due volte; l'algoritmo proof-of-work di Bitcoin è stato progettato per rendere questa una virtualmente impossibile. Ma sembra che i codici RPC per Filecoin, un progetto blockchain per l'archiviazione distribuita creato da Protocol Labs, presentino un difetto per cui gli utenti possono ingannare gli exchange inducendoli ad accettare un deposito due volte.

Continua a leggere: La doppia spesa di Bitcoin che non è mai avvenuta

"Il canale RPC è il canale informativo per gli exchange per verificare che i depositi siano legittimi. T verificano direttamente. Invece, inviano un messaggio tramite il canale dicendo, 'Ehi, il deposito di questo tizio è valido?' E ricevono una risposta dal loro nodo Filecoin che dice 'sì' o 'no'", ha spiegato lo sviluppatore Bitcoin Dustin Dettmer in un messaggio a CoinDesk.

Tuttavia, ha aggiunto, il processo che gli sviluppatori Filecoin hanno fornito agli exchange per verificare i depositi include un difetto critico che consente agli utenti di depositare ripetutamente le stesse monete.

"Questo consente agli hacker di scrivere un singolo assegno ma di ri-depositarlo tutte le volte che vogliono, in modo simile a come i bambini, nella sala giochi, erano soliti legare delle corde ai quarti per giocare all'infinito usando una sola moneta", ha detto Dettmer. "Ma qui le conseguenze sono più drastiche. Quantità illimitate di fondi reali potrebbero essere rubate".

L'incidente potrebbe essere più correttamente definito un "doppio deposito" perché questo bug non ha causato una vera e propria doppia spesa e i minatori che lo hanno scoperto ritengono di aver trovato anche altri casi.

Il bug del "doppio deposito" Filecoin RBF

Il collettivo 6Blockscoperto il bug Mercoledì dopo averlo sfruttato accidentalmente. Dopo che una transazione da 61.000 FIL (del valore di circa 4,6 milioni di $) verso l'exchange stava impiegando troppo tempo, il team ha aumentato la commissione con una transazione "replace-by-fee" (RBF) per velocizzarla.

Una transazione replace-by-fee si verifica quando un utente trasmette una nuova transazione per sostituirne una più vecchia e non confermata e vi associa una commissione di mining più elevata, con l'obiettivo di accelerarne la conferma.

Continua a leggere: L'aggiornamento della rete Filecoin è attivo, i minatori rivendicano ricompense in blocchi del 25%

Questa transazione RBF, tuttavia, ha fatto sì che il deposito apparisse due volte sul loro account Binance, trasformando di fatto 61.000 FIL in 120.000 FIL. Il problema è che i secondi 61k FIL non sono mai effettivamente arrivati ​​sul wallet di Binance: Binance è stata ingannata nell'accreditare i depositi due volte a causa di un bug nei codici RPC di Filecoin. Il team ha immediatamente avvisato Binance e Protocol Labs.

In sostanza, il bug ha fatto sì che Binance vedesse entrambe le transazioni, ignorasse il fatto che fossero in conflitto e le accettasse entrambe (per una transazione di sostituzione tramite commissione, solitamente, la seconda transazione, con commissione più alta, è considerata valida mentre la prima viene rifiutata).

Ogni exchange con coppie di scambio Filecoin utilizza lo stesso codice RPC "StateGetReceipt" per elaborare i depositi, quindi il bug è teoricamente sfruttabile su qualsiasi exchange che scambi il token, ha affermato il team.

"Protocol Labs ha suggerito che gli exchange recuperino le ricevute dei messaggi da RPC StateGetReceipt, che ha un bug serio. Quando ci sono due messaggi con lo stesso mittente e lo stesso nonce on-chain (il che significa una doppia spesa), StateGetReceipt restituisce lo stesso risultato per entrambi", ha detto uno sviluppatore Filecoin alle società di mining nella loro corrispondenza.

I depositi per Filecoin su Binance, Huobi e altri sono stati bloccati di conseguenza, hanno affermato i minatori. CoinDesk ha contattato i popolari exchange Binance, Huobi e OKEx per verificare queste affermazioni, ma ha ricevuto risposta solo da Binance, che ha affermato che i depositi FIL "sono ripresi il 19 marzo 2021 alle 00:45 UTC e i sistemi sono tornati alla normalità".

Gli sviluppatori Filecoin hanno ha aperto un problema su GitHubper lavorare su una correzione e il team ha pubblicato un post-mortem se ilproblemaIn una corrispondenza con CoinDesk, hanno negato che il difetto derivasse da un errore RPC e hanno invece affermato che era originato da "incomprensioni" e "uso improprio" da parte di Binance.

"Non c'è alcun bug RPC. Il problema è derivato dall'uso non corretto delle API dell'exchange in questione. Non conosciamo nessun altro exchange che abbia commesso un errore simile", ha affermato il team di Filecoin. "Il team lavorerà con gli exchange per verificare il loro meccanismo di deposito per evitare problemi futuri".

FIL è in calo del 4,5%quel giorno.

Questa è una storia in continua evoluzione.

Aggiornato giovedì 18 marzo 2021, 21:57 UTC: sono stati aggiunti ulteriori commenti dal team Filecoin e apportate modifiche per chiarire che l'exploit era un "doppio deposito" su Binance, non una "doppia spesa" on-chain.

Aggiornato giovedì 19 marzo 2021, 13:35: Aggiunti commenti da Binance.