Trang chủ Altcoin 4,6 triệu đô la trong Filecoin ‘Đã ký gửi hai lần’ trên Binance; Khai thác mở trên các sàn giao dịch khác

4,6 triệu đô la trong Filecoin ‘Đã ký gửi hai lần’ trên Binance; Khai thác mở trên các sàn giao dịch khác

bởi Tuyết Tâm

Đó không phải là chi tiêu kép “thực sự”, nhưng liệu các khoản tiền vẫn có thể được sao chép và giao dịch trên một sàn giao dịch có quan trọng không?

Vấn đề chính là thiết kế bằng chứng công việc của Bitcoin có nghĩa là sẽ dừng lại chỉ xảy ra trên mạng Filecoin (FIL) – đại loại vậy.

Theo các công ty khai thác Filecoin tại Filfox và FileStar, Binance đã xử lý “khoản tiền gửi gấp đôi” FIL vào thứ Tư trị giá hàng triệu đô la. Đây không phải là một khoản chi tiêu gấp đôi thực sự trong chuỗi, nhưng Binance đã ghi có vào tài khoản filecoin của người khai thác hai lần sau một lần gửi tiền do “lỗi nghiêm trọng” trong mã lệnh gọi thủ tục từ xa (RPC) của Filecoin.

“Chi tiêu gấp đôi” xảy ra khi cùng một khoản tiền trên một blockchain được chi tiêu hai lần; Thuật toán bằng chứng công việc của Bitcoin được thiết kế để biến điều này trở thành không thể ảo. Nhưng có vẻ như mã RPC cho Filecoin, một dự án blockchain dành cho lưu trữ phân tán do Protocol Labs xây dựng, có một lỗ hổng trong đó người dùng có thể lừa các sàn giao dịch chấp nhận một khoản tiền gửi hai lần.

“Kênh RPC là kênh thông tin để các sàn giao dịch xác minh tiền gửi là hợp pháp. Họ không xác minh trực tiếp. Thay vào đó, họ gửi một tin nhắn qua kênh với nội dung “Này, khoản tiền gửi của anh chàng này có tốt không?” Và họ nhận được phản hồi từ phần mềm của FileCoin rằng “có” hoặc “không”, nhà phát triển Bitcoin Dustin Dettmer giải thích trong một tin nhắn gửi tới CoinDesk.

Tuy nhiên, ông nói thêm, quy trình mà các nhà phát triển Filecoin đưa ra cho các sàn giao dịch để xác minh tiền gửi bao gồm một lỗ hổng nghiêm trọng cho phép người dùng gửi cùng một đồng tiền nhiều lần.

Dettmer cho biết: “Điều này cho phép tin tặc viết một tấm séc duy nhất nhưng gửi lại bao nhiêu lần tùy thích – tương tự như cách trẻ em, trong trò chơi điện tử, dùng để buộc dây vào các phần tư để chơi mãi mãi bằng cách sử dụng một đồng xu duy nhất,” Dettmer nói. “Ngoại trừ ở đây, hậu quả là nghiêm trọng hơn. Số tiền thực không giới hạn có thể bị đánh cắp. “

Sai sót có thể được gọi một cách chính xác hơn là “gửi tiền gấp đôi” vì lỗi này không dẫn đến việc chi tiêu gấp đôi thực sự và những người khai thác đã phát hiện ra nó tin rằng họ cũng đã tìm thấy các trường hợp khác.

Lỗi ‘tiền gửi gấp đôi’ của Filecoin RBF

Tập thể khai thác Filfox và FileStar đã phát hiện ra lỗi vào thứ Tư sau khi vô tình khai thác nó. Sau khi giao dịch 61.000 FIL (trị giá khoảng 4,6 triệu đô la) với sàn giao dịch mất quá nhiều thời gian, nhóm nghiên cứu đã tính phí bằng giao dịch “thay thế theo phí” (RBF) để tăng tốc.

Giao dịch thay thế diễn ra khi người dùng phát một giao dịch mới để thay thế một giao dịch cũ hơn, chưa được xác nhận và đính kèm phí khai thác cao hơn với mục tiêu tăng tốc độ xác nhận.

Tuy nhiên, giao dịch RBF này dẫn đến khoản tiền gửi hiển thị trong tài khoản Binance của họ hai lần, biến 61.000 FIL thành 120.000 FIL. Vấn đề là 61k FIL thứ hai không bao giờ thực sự đến ví của Binance – Binance đã bị lừa ghi có hai lần vì lỗi trong mã RPC của Filecoin. Nhóm nghiên cứu đã ngay lập tức thông báo cho Binance và Phòng thí nghiệm Giao thức.

Về cơ bản, lỗi có nghĩa là Binance đã nhìn thấy cả hai giao dịch, bỏ qua rằng chúng xung đột và chấp nhận cả hai (đối với giao dịch thay thế bằng phí, thông thường, giao dịch thứ hai, phí cao hơn được coi là hợp lệ trong khi giao dịch đầu tiên bị từ chối).

Nhóm nghiên cứu cho biết mọi sàn giao dịch với các cặp giao dịch Filecoin đều sử dụng cùng một mã RPC “StateGetReceipt” để xử lý tiền gửi, do đó, về mặt lý thuyết, lỗi này có thể khai thác được trên bất kỳ sàn giao dịch nào giao dịch mã thông báo.

“Protocol Labs gợi ý rằng các sàn giao dịch tìm nạp các biên nhận tin nhắn từ RPC StateGetReceipt, có một lỗi nghiêm trọng. Khi có hai tin nhắn với cùng một người gửi và cùng một nonce trên chuỗi, (có nghĩa là chi tiêu gấp đôi), StateGetReceipt sẽ trả về cùng một kết quả cho cả hai ”, một nhà phát triển Filecoin nói với các công ty khai thác trong thư của họ.

Các nhà phát triển Filecoin đã mở một vấn đề GitHub để tìm cách sửa lỗi.

Do đó, các nhà khai thác cho biết việc gửi tiền cho Filecoin tại Binance, Huobi và những nơi khác đã bị tạm dừng. CoinDesk đã liên hệ với các sàn giao dịch phổ biến Binance, Huobi và OKEx để xác minh những tuyên bố này, nhưng vẫn chưa nhận được phản hồi.

Các nhà phát triển Filecoin đã mở sự cố GitHub để tìm cách khắc phục. Trong thư từ với CoinDesk, họ phủ nhận rằng lỗ hổng này là do lỗi RPC và thay vào đó họ cho rằng nó bắt nguồn từ một sai lầm ở phía Binance.

“Không có lỗi RPC. Vấn đề là do việc sử dụng không chính xác các API từ sàn giao dịch được đề cập. Chúng tôi không biết bất kỳ sàn giao dịch nào khác đã mắc lỗi tương tự, ”nhóm của Filecoin cho biết. “Nhóm sẽ làm việc với các sàn giao dịch để kiểm tra cơ chế gửi tiền của họ để tránh các vấn đề trong tương lai.”

0 bình luận

Có thể bạn cũng quan tâm

Để lại bình luận