原標題:事件回顧報告:利用LotusAPI準確記賬
2021年3月18日,有報道稱,由于Filecoin的遠程過程調用代碼存在"嚴重漏洞",出現了"雙花"。這些說法是不正確的且具有強烈誤導性。
Lotus團隊對該報告進行了徹底調查,沒有發現任何Filecoin網絡和RPCAPI代碼的相關問題。鏈本身不存在雙花問題,API代碼也沒有錯誤。有關交易所已經修正了該交易所內的錯誤交易記錄,并正在審查他們記賬系統中的充值處理邏輯,以改正他們的API使用。
事件回顧
事件報告?—今日早前,Lotus團隊收到交易所錯誤使用LotusAPI來計算Filecoin網絡中的轉賬/存款。API錯誤使用情況是因為用戶報告了交易所他們的帳戶被交易所記賬系統錯誤地重復記錄。這一問題已在交易所記賬系統恢復—鏈上本身并沒有重復記錄。?API誤解?—該問題的核心是對于Lotus的鏈狀態檢查API使用不當,在處理多個類似消息時,其處理方式與所期待的不同。誤解LotusAPI的輸出會導致記賬系統將原始消息和替換消息都算作相同的發送者和接收者。到目前為止,我們只知道有一個交易所受到這個問題的影響。虛假報道成為文章標題?—有關網絡“雙花”的不正確陳述在社交媒體渠道中傳播,并進入文章標題。這些報道中的內容已被調查并確定為錯誤信息。團隊并沒有發現Filecoin網絡或RPCAPI代碼的問題。在了解了事實之后,許多團隊和媒體機構正在糾正其報道。
Coinbase:為了進一步加快采用速度,行業需要簡化投資概念,提高可及性:金色財經報道,Coinbase Institutional發推稱,機構一直在加速采用數字資產,特別是與他們開始使用衍生品所花費的時間相比,為了進一步加快采用速度,行業需要簡化投資概念,提高可及性,并將技術更好地集成到現有系統中。不同國家監管特殊資產類別的方式一直存在差異。但是,國家與國家之間的差異從來沒有像今天的加密貨幣那樣大。
此外,BTC 和 ETH 上周都在今年最窄的區間內交易,并且實現了各自的 30 天波動率均降至 36% 左右。在宏觀方面,我們的研究團隊認為,在市場關注債務上限的同時,美國銀行體系的動蕩更值得關注。我們的交易團隊認為,如果美國在沒有就提高債務上限達成協議的情況下接近違約邊緣,BTC 可能會突破其交易區間。[2023/5/25 10:38:24]
正在采取的行動
Bitboy在承諾六個月內不賣出BEN代幣后僅一周就清倉:金色財經報道,加密貨幣影響者Ben Armstrong,又名Bitboy,在承諾六個月內不賣出BEN代幣后僅一周就賣出了他所有的BEN代幣。數據顯示,Bitboy以45ETH(約合81,922美元)的價格出售了他的BEN代幣。[2023/5/18 15:11:22]
受到影響的交易所?—有關交易所發現了這對于API的錯誤使用,并已立即采取行動,停止充值、提現和轉賬。他們已經恢復了有關的錯誤交易,并正在糾正他們對LotusAPI的使用,以符合推薦的使用方法。?偶發案例?—其他交易所已經收到預警,正在審查他們的代碼邏輯,以確保他們不受同樣錯誤的影響。其中許多審查已經完成——據我們所知,目前還沒有其他交易所以這種方式錯用API。Lotus團隊?—Lotus團隊正在積極與所有交易所合作,以確保正確處理這一行為,并改進API文檔(https://github.com/filecoin-project/lotus/pull/5838),確保所有其他交易所正確檢查Filecoin的鏈狀態。社區和媒體?—一些團隊正在共同努力,與媒體聯系,澄清所稱事件的細節和事實,并幫助消除錯誤信息。社區團隊?—社區成員提供可以幫助其他社區成員準確、周到地報告問題的方法,避免意外傳播錯誤信息。
50,000,000枚USDT從Bitfinex轉移到未知錢包:金色財經報道,Whale Alert監測數據顯示,50,000,000枚USDT從Bitfinex轉移到未知錢包。[2022/11/25 12:42:07]
技術細節
相同信息?—?就lotus團隊所知問題源自于有兩條消息有相同的發送者/收到者詳細信息、相同的nonce但擁有不同的Gas參數——被包含在同一tipset中。像這樣兩個類似的消息是非常常見的,比如以改變與消息的Gas費來替代消息就會形成這樣兩條類似的消息。這樣的情況會由Filecoin網絡安全、正確地處理,不會導致兩次轉賬:兩條消息中的一條會被執行,另一條被忽略。錯誤使用API?—然而,根據人們對鏈的檢查方式,這會呈現出消息被處理了兩次的樣子。具體來說,有關交易所使用了一種錯誤的處理鏈狀態的方式——在tipset的每個塊上調用ChainGetBlockMessages,然后在這些消息上調用StateGetReceipt。錯誤的API期望?—容易引發錯誤的地方是,當StateGetReceipt被調用在兩個相似的消息上,它將提供相同的結果給人感覺兩種消息都被執行了。這誠然是一種違背直覺思維的行為,但卻是有意為之。StateGetReceipt的主要應用場景是在Lotus礦工和處理交易過程中使用的事件處理程序(https://github.com/filecoin-project/lotus/blob/79a8ff04fd5362a367fd7d6469e5287a47baa571/chain/events/events_called.go#L586)中。在消息被替換的情況下,這些模塊并不關心返回的信息是對應原始消息,還是對應替換的消息——它們只是想知道消息是否在鏈上成功執行。我們已經在這里的文檔中增加了澄清:https://github.com/filecoin-project/lotus/pull/5838。使用正確的API?—大多數交易所都是正確使用了ChainGetParentMessages和ChainGetParentReceipts來記賬,以計算出鏈上執行了什么消息、哪些消息成功了。這些都是Lotus本身在鏈state計算過程中使用的API,以保證使用者能通過這種方式正確反映鏈狀態。對每一條消息執行StateReplay,可以得到完整的調用結果,這樣使用者就可以將返回的InvocResult中的MsgCid與查詢消息的CID進行比較。這是推薦交易所的正確檢查鏈狀態并保持內部報告系統同步的步驟。
成都鏈安:BAYC項目具有被無限鑄幣的風險:據成都鏈安安全輿情監控數據顯示,BAYC項目具有被無限鑄幣的風險。成都鏈安安全團隊分析發現,合約的擁有者并非多簽錢包,合約擁有者可以任意調用reserveApes()函數進行鑄幣,每次調用函數可以直接鑄造30枚無聊猿NFT,如果合約所有者遭到釣魚攻擊或私鑰泄露等,可能會導致大量無聊猿NFT被鑄造并售賣。后面成都鏈安會持續監控該合約擁有者的動向。[2022/6/6 4:04:55]
最近最吸引幣圈人眼球的恐怕就是今日漲幅多達17個點的FIL了。FIL主網自上線以來,一直是備受幣圈尤其是國內外幣圈矚目的項目,目前,Filecoin也突破了2020年10月17日上線以來最高記錄.
1900/1/1 0:00:00幣圈李夢: 曾經以為,擁有是不容易的,后來明白,舍棄才是更難的。所有讓你佩服的人,只是你的羨慕給平凡的他鍍了金身,金融市場,不少人能看穿你的逞強,但沒幾個人像我一樣愿意保護你的脆弱,時間游走,歲.
1900/1/1 0:00:001944年,經濟學家約翰?梅納德?凱恩斯的提議最終未能在布雷頓森林會議上獲得通過,這也為我們今天所知的以美國為中心的國際貨幣體系奠定了基礎.
1900/1/1 0:00:00DeFi是下一個10年的最大風口,為迎接下一個新金融時代,切入DeFi世界,豐富雷達DeFi生態,雷達實驗室將成立DeFi項目孵化器,投資并支持第三方DeFi創業團隊,進行DeFi的探索和研發.
1900/1/1 0:00:00幣上丞:強光之下沒有云朵,是太陽你始終遮擋不住。帶著幣友們仗劍天涯,走得更長遠,也不負曾經的相遇與信任15年從業經驗,每日18小時看盤,是時間堆積后的沉淀我想與莊共舞征服世界,卻不過是為了讓你給.
1900/1/1 0:00:00標準化合約:交易所基于多方面考慮,指定和規范一份合約的內容,交易雙方只需要按照各自的需求交易所需份數的合約.
1900/1/1 0:00:00