$4,6 млн у Filecoin «подвійно внесено» на Binance; Експлойт відкритий на інших біржах

Сама проблема, яку мав зупинити дизайн підтвердження роботи біткойна, щойно виникла в мережі Filecoin FIL$1,1961 – ну, начебто.

За словами розробників Filfox і FileStar, Binance обробила «подвійний депозит» FIL у середу на мільйони доларів. Це не правда, подвійні витрати в ланцюжку, але Binance двічі кредитував обліковий запис майнера Filecoin 6Block (батька Filfox і Filestar) на ONE депозит через «серйозну помилку» в коді віддаленого виклику процедури Filecoin (RPC).

«Подвійні витрати» виникають, коли однакові кошти в блокчейні витрачаються двічі; Алгоритм підтвердження роботи біткойна був розроблений, щоб зробити це практично неможливим. Але здається, що RPC-коди для Filecoin, блокчейн-проекту для розподіленого сховища, створеного Protocol Labs, містять недолік, через який користувачі можуть обманом змусити біржі прийняти депозит двічі.

Читайте також: Подвійні витрати Bitcoin , яких ніколи не було

"Канал RPC є інформаційним каналом для бірж, щоб перевірити законність депозитів. Вони T перевіряють напряму. Замість цього вони надсилають повідомлення через канал: "Гей, депозит цього хлопця хороший?" І вони отримують відповідь від свого вузла Filecoin із словами «так» або «ні», – пояснив розробник Bitcoin Дастін Деттмер у повідомленні CoinDesk.

Однак, додав він, процес, який розробники Filecoin надали біржам для перевірки депозитів, містить критичну помилку, яка дозволяє користувачам повторно вносити ті самі монети.

«Це дозволяє хакерам виписати один чек, але повторно внести його скільки завгодно разів — подібно до того, як діти в аркаді прив’язували мотузки до чвертей, щоб вічно грати за одну монету», — сказав Деттмер. "За винятком того, що тут наслідки більш драматичні. Можна вкрасти необмежену кількість реальних коштів".

Нещасний випадок правильніше було б назвати «подвійним депозитом», оскільки ця помилка не призвела до справжніх подвійних витрат, і майнери, які її виявили, вважають, що знайшли й інші випадки.

Помилка «подвійного депозиту» Filecoin RBF

Колектив 6Block виявив помилку Середа після випадкового використання. Після того, як транзакція 61 000 FIL (вартістю приблизно 4,6 мільйона доларів) до біржі тривала надто довго, команда збільшила комісію за допомогою транзакції «заміна за комісію» (RBF), щоб пришвидшити її.

Транзакція заміни за комісією відбувається, коли користувач транслює нову транзакцію, щоб замінити старішу, непідтверджену транзакцію, і приєднує до неї вищу комісію за майнінг з метою прискорення її підтвердження.

Читайте також: Оновлення мережі Filecoin працює, майнери вимагають 25% винагороди за блок

Однак ця транзакція RBF призвела до того, що депозит з’явився на їхньому рахунку Binance двічі, фактично перетворивши 61 000 FIL на 120 000 FIL. Проблема полягає в тому, що другий 61k FIL так і не потрапив у гаманець Binance – Binance обманом змусили зарахувати депозити двічі через помилку в RPC-кодах Filecoin. Команда негайно повідомила про це Binance and Protocol Labs.

По суті, помилка означала, що Binance бачила обидві транзакції, ігнорувала, що вони конфліктують, і прийняла обидві (для транзакції заміни за комісією зазвичай друга транзакція з вищою комісією вважається дійсною, а перша відхиляється).

Кожна біржа з ​​торговими парами Filecoin використовує той самий код RPC «StateGetReceipt» для обробки депозитів, тому цю помилку теоретично можна використовувати на будь-якій біржі, яка торгує токеном, повідомила команда.

«Protocol Labs запропонувала біржам отримувати квитанції про повідомлення з RPC StateGetReceipt, який має серйозну помилку. Коли в ланцюжку є два повідомлення з одним і тим же відправником і тим самим nonce (що означає подвійну витрату), StateGetReceipt повертає однаковий результат для обох», — повідомив розробник Filecoin майнінговим компаніям у своєму листуванні.

Як наслідок, майнери повідомили, що депозити для Filecoin у Binance, Huobi та інших були припинені. CoinDesk звернувся до популярних бірж Binance, Huobi та OKEx, щоб перевірити ці заяви, але отримав відповідь лише від Binance, який сказав, що депозити FIL «відновлено 19 березня 2021 року о 00:45 UTC, і системи повернулися до нормального».

У розробників Filecoin є відкрив проблему GitHub працювати над виправленням, і команда опублікувала посмертне дослідження питання. У листуванні з CoinDesk вони заперечували, що недолік є результатом помилки RPC, і натомість стверджували, що він виник через «непорозуміння» та «неправильне використання» з боку Binance.

«Помилки RPC немає. Проблема виникла через неправильне використання API відповідної біржі. Ми не знаємо жодної іншої біржі, яка припустилася подібної помилки», — повідомила команда Filecoin. «Команда працюватиме з біржами, щоб перевірити їхній механізм депозиту, щоб уникнути майбутніх проблем».

FIL є знизився на 4,5% на день.

Це історія, що розвивається.

Оновлено в четвер, 18 березня 2021 р., 21:57 UTC: додано додаткові коментарі від команди Filecoin і внесено правки, щоб уточнити, що експлойт був «подвійним депозитом» на Binance, а не «подвійними витратами» в мережі.

Оновлено четвер, 19 березня 2021 р, 13:35: додано коментарі від Binance.