$4,6 млн в Filecoin «двойной депозит» на Binance; эксплойт открыт на других биржах

Та самая проблема, которую должна была решить конструкция доказательства выполнения работы в Биткоине, только что возникла в сети Filecoin (FIL) — ну, или что-то вроде того.

По словам разработчиков Filfox и FileStar, Binance обработала «двойной депозит» FIL в среду на сумму в миллионы долларов. Это не настоящая двойная трата в цепочке, но Binance дважды зачислила средства на счет майнера Filecoin 6Block (родитель Filfox и Filestar) за ONE депозит из-за «серьезной ошибки» в коде удаленного вызова процедур (RPC) Filecoin.

«Двойная трата» происходит, когда одни и те же средства на блокчейне тратятся дважды; алгоритм доказательства работы Bitcoin был разработан, чтобы сделать это практически невозможным. Но, похоже, коды RPC для Filecoin, проекта блокчейна для распределенного хранения, созданного Protocol Labs, содержат уязвимость, из-за которой пользователи могут обмануть биржи, заставив их дважды принять депозит.

Читать дальше: Двойная трата Bitcoin , которой никогда не было

«Канал RPC — это информационный канал для бирж, позволяющий проверить законность депозитов. Они T проверяют напрямую. Вместо этого они отправляют сообщение по каналу, говоря: «Эй, депозит этого парня хорош?» И они получают ответ от своего узла Filecoin , говорящий «да» или «нет», — объяснил разработчик Bitcoin Дастин Деттмер в сообщении для CoinDesk.

Однако, добавил он, процесс, который разработчики Filecoin предоставили биржам для проверки депозитов, содержит критический недостаток, который позволяет пользователям повторно вносить одни и те же монеты.

«Это позволяет хакерам выписывать один чек, но повторно вносить его столько раз, сколько им нужно — подобно тому, как дети в игровых автоматах привязывали веревочки к четвертакам, чтобы играть вечно, используя одну монету», — сказал Деттмер. «Только здесь последствия более радикальны. Могут быть украдены неограниченные суммы реальных средств».

Эту ошибку правильнее было бы назвать «двойным депозитом», поскольку эта ошибка не привела к настоящей двойной трате, и майнеры, которые ее обнаружили, полагают, что они обнаружили и другие подобные случаи.

Ошибка «двойного депозита» Filecoin RBF

Коллектив 6Blockобнаружил ошибку Среда после случайной эксплуатации. После того, как транзакция на 61 000 FIL (стоимостью примерно 4,6 млн долларов) на биржу заняла слишком много времени, команда увеличила комиссию с помощью транзакции «replace-by-fee» (RBF), чтобы ускорить ее.

Транзакция с заменой на комиссию происходит, когда пользователь транслирует новую транзакцию для замены старой неподтвержденной транзакции и присоединяет к ней более высокую комиссию за майнинг с целью ускорения ее подтверждения.

Читать дальше: Обновление сети Filecoin запущено, майнеры заявляют о 25% вознаграждении за блок

Однако эта транзакция RBF привела к тому, что депозит дважды появился на их счете Binance, фактически превратив 61 000 FIL в 120 000 FIL. Проблема в том, что вторые 61 тыс. FIL на самом деле так и не попали на кошелек Binance — Binance обманули, зачислив депозиты дважды из-за ошибки в кодах RPC Filecoin. Команда немедленно уведомила Binance и Protocol Labs.

По сути, ошибка означала, что Binance увидела обе транзакции, проигнорировала их конфликт и приняла обе (для транзакции с заменой на комиссию обычно вторая транзакция с более высокой комиссией считается действительной, а первая отклоняется).

Команда заявила, что каждая биржа с торговыми парами Filecoin использует один и тот же RPC-код «StateGetReceipt» для обработки депозитов, поэтому теоретически уязвимость может быть использована на любой бирже, торгующей этим токеном.

«Protocol Labs предложила биржам получать квитанции о сообщениях из RPC StateGetReceipt, в котором есть серьезная ошибка. Когда в цепочке есть два сообщения с одним и тем же отправителем и одинаковым одноразовым кодом (что означает двойную трату), StateGetReceipt возвращает одинаковый результат для обоих сообщений», — сообщил разработчик Filecoin майнинговым компаниям в своей переписке.

По словам майнеров, в результате депозиты Filecoin на Binance, Huobi и других были остановлены. CoinDesk обратился к популярным биржам Binance, Huobi и OKEx, чтобы проверить эти заявления, но получил ответ только от Binance, которая сообщила, что депозиты FIL «возобновились 19 марта 2021 года в 00:45 UTC, и системы вернулись к нормальному режиму работы».

Разработчики Filecoin имеют открыл вопрос на GitHubработать над исправлением, и команда опубликовала отчет о вскрытии, еслипроблемаВ переписке с CoinDesk они отрицали, что уязвимость возникла из-за ошибки RPC, и вместо этого утверждали, что она возникла из-за «недоразумения» и «неправильного использования» со стороны Binance.

«Нет ошибки RPC. Проблема возникла из-за неправильного использования API рассматриваемой биржи. Мы не знаем ни одной другой биржи, которая допустила бы подобную ошибку», — заявила команда Filecoin. «Команда будет работать с биржами, чтобы проверить их механизм депозита, чтобы избежать будущих проблем».

FIL - это снизился на 4,5%в тот день.

Это развивающаяся история.

Обновлено в четверг, 18 марта 2021 г., 21:57 UTC: добавлены дополнительные комментарии от команды Filecoin и внесены правки, поясняющие, что эксплойт представлял собой «двойной депозит» на Binance, а не «двойную трату» в блокчейне.

Обновлено Четверг, 19 Марта, 2021, 13:35: Добавлены комментарии от Binance.