原标题:事件回顾报告:利用LotusAPI准确记账
2021年3月18日,有报道称,由于Filecoin的远程过程调用代码存在"严重漏洞",出现了"双花"。这些说法是不正确的且具有强烈误导性。
Lotus团队对该报告进行了彻底调查,没有发现任何Filecoin网络和RPCAPI代码的相关问题。链本身不存在双花问题,API代码也没有错误。有关交易所已经修正了该交易所内的错误交易记录,并正在审查他们记账系统中的充值处理逻辑,以改正他们的API使用。
事件回顾
事件报告?—今日早前,Lotus团队收到交易所错误使用LotusAPI来计算Filecoin网络中的转账/存款。API错误使用情况是因为用户报告了交易所他们的帐户被交易所记账系统错误地重复记录。这一问题已在交易所记账系统恢复—链上本身并没有重复记录。?API误解?—该问题的核心是对于Lotus的链状态检查API使用不当,在处理多个类似消息时,其处理方式与所期待的不同。误解LotusAPI的输出会导致记账系统将原始消息和替换消息都算作相同的发送者和接收者。到目前为止,我们只知道有一个交易所受到这个问题的影响。虚假报道成为文章标题?—有关网络“双花”的不正确陈述在社交媒体渠道中传播,并进入文章标题。这些报道中的内容已被调查并确定为错误信息。团队并没有发现Filecoin网络或RPCAPI代码的问题。在了解了事实之后,许多团队和媒体机构正在纠正其报道。
LBank Labs宣布投资基金管理公司Collab+Currency:据官方消息,LBank Labs 完成了对基金管理公司Collab+Currency的投资。Collab+Currency是一家专注于支持建立下一代文化和消费技术的早期项目的加密货币基金。在过去的5年里,该基金支持了近100个项目,涉及加密货币领域的几乎每个垂直领域,包括基础设施、基础层区块链、服务提供商和NFT。Collab+Currency此前投资了一些最具影响力的web3消费者项目,如Blur, SuperRare, Art Blocks, Sky Mavis等其他知名项目。
Collab+Currency是LBank Labs FOF战略投资里的第八个基金,并计划在未来几个月继续扩张FOF投资,以加强投资组合之间的配合和网络效应。[2023/6/8 21:23:50]
正在采取的行动
波场TRON成为Crypto Expo Asia、TOKEN2049官方赞助商:据官方消息,波场TRON在其官方推特账号宣布,正式成为本年度TOKEN2049及亚洲加密货币博览会(Crypto Expo Asia)的官方赞助商。波场TRON表示,很高兴赞助TOKEN2049及Crypto Expo Asia两场年度顶级Web3活动,并期待在大会展示波场TRON前沿的区块链技术并分享Web3领域的突破性见解。
据了解,Crypto Expo Asia 是亚洲全球加密生态系统的重要盛会,本年度Crypto Expo Asia将于6月7日至8日在新加坡举行,预计将吸引超过10000名全球与会者,与波场TRON同时赞助本次活动的有CoinW、JPEX等行业头部机构。
本年度TOKEN2049将于9月13日至14日在新加坡举行,与会者将超过10000人,主办方预计本届会议有望成为全球同类会议中规模最大的一次。在2022年度的活动中,波场TRON作为大会的赞助商参与,波场TRON创始人孙宇晨受邀出席并在大会发言表示波场TRON未来的目标是成为主流金融服务机构,这也是加密行业的未来。[2023/6/7 21:21:22]
受到影响的交易所?—有关交易所发现了这对于API的错误使用,并已立即采取行动,停止充值、提现和转账。他们已经恢复了有关的错误交易,并正在纠正他们对LotusAPI的使用,以符合推荐的使用方法。?偶发案例?—其他交易所已经收到预警,正在审查他们的代码逻辑,以确保他们不受同样错误的影响。其中许多审查已经完成——据我们所知,目前还没有其他交易所以这种方式错用API。Lotus团队?—Lotus团队正在积极与所有交易所合作,以确保正确处理这一行为,并改进API文档(https://github.com/filecoin-project/lotus/pull/5838),确保所有其他交易所正确检查Filecoin的链状态。社区和媒体?—一些团队正在共同努力,与媒体联系,澄清所称事件的细节和事实,并帮助消除错误信息。社区团队?—社区成员提供可以帮助其他社区成员准确、周到地报告问题的方法,避免意外传播错误信息。
8,000枚ETH从Liquity转移到未知钱包:金色财经报道,WhaleAlert监测数据显示,8,000枚ETH(约10,483,331 美元)从Liquity转移到未知钱包。[2022/10/2 18:37:38]
技术细节
相同信息?—?就lotus团队所知问题源自于有两条消息有相同的发送者/收到者详细信息、相同的nonce但拥有不同的Gas参数——被包含在同一tipset中。像这样两个类似的消息是非常常见的,比如以改变与消息的Gas费来替代消息就会形成这样两条类似的消息。这样的情况会由Filecoin网络安全、正确地处理,不会导致两次转账:两条消息中的一条会被执行,另一条被忽略。错误使用API?—然而,根据人们对链的检查方式,这会呈现出消息被处理了两次的样子。具体来说,有关交易所使用了一种错误的处理链状态的方式——在tipset的每个块上调用ChainGetBlockMessages,然后在这些消息上调用StateGetReceipt。错误的API期望?—容易引发错误的地方是,当StateGetReceipt被调用在两个相似的消息上,它将提供相同的结果给人感觉两种消息都被执行了。这诚然是一种违背直觉思维的行为,但却是有意为之。StateGetReceipt的主要应用场景是在Lotus矿工和处理交易过程中使用的事件处理程序(https://github.com/filecoin-project/lotus/blob/79a8ff04fd5362a367fd7d6469e5287a47baa571/chain/events/events_called.go#L586)中。在消息被替换的情况下,这些模块并不关心返回的信息是对应原始消息,还是对应替换的消息——它们只是想知道消息是否在链上成功执行。我们已经在这里的文档中增加了澄清:https://github.com/filecoin-project/lotus/pull/5838。使用正确的API?—大多数交易所都是正确使用了ChainGetParentMessages和ChainGetParentReceipts来记账,以计算出链上执行了什么消息、哪些消息成功了。这些都是Lotus本身在链state计算过程中使用的API,以保证使用者能通过这种方式正确反映链状态。对每一条消息执行StateReplay,可以得到完整的调用结果,这样使用者就可以将返回的InvocResult中的MsgCid与查询消息的CID进行比较。这是推荐交易所的正确检查链状态并保持内部报告系统同步的步骤。
Upbit发布MetaMask签名请求反网络钓鱼预防措施:5月18日消息,韩国加密交易所Upbit发布MetaMask签名请求反网络钓鱼预防措施,具体包括:当用户在Upbit中注册个人钱包时,将请求MetaMask签名以验证该钱包是否归本人所有;如果要求在原始项上签名的地址不是Upbit,请取消签名;如果消息页上方出现红色文字的警告消息,请取消签名;如果消息项显示以0x开头的哈希值,而不是Upbit请求的签名,请取消签名。[2022/5/18 3:25:30]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。