2021-3-19 13:20
其他 | THETA突破8.6美元关口 日内涨幅为12.44%
欧易OKEx数据显示,THETA短线上涨,突破8.6美元关口,现报8.6057美元,日内涨幅达到12.44%,行情波动较大,请做好风险控制。
2021-3-19 12:49
其他 | 神鱼:Filecoin lotus节点的一些返回值不是很符合常规逻辑
神鱼及Cobo官方今日给出Filecoin“双花攻击”细节:Filecoin lotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF(replace by fee),则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果!
Cobo Custody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlotckMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的过程中,Cobo Custody技术团队发现lotus节点的一些返回值也不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。Cobo Custody技术团队对此作了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。
2021-3-19 12:29
2021-3-19 12:29
2021-3-19 12:20
2021-3-19 12:10
2021-3-19 12:09
其他 | 印度即将出台加密货币禁令,特斯拉比特币支付计划或受挫
3月19日消息,计划在印度扩大业务的特斯拉可能面临印度即将出台的加密货币禁令。此前特斯拉表示未来将接受比特币作为车款支付方式。据悉,印度议会正在考虑一项法案,禁止比特币等所有私人加密货币。然而,并非所有加密货币都将被禁止。印度储备银行(RBI)将建立框架,并在该国发行官方数字货币。
有消息称,特斯拉计划在印度建立一家工厂。当地报道称,特斯拉的下一个工厂可能在马哈拉施特拉邦或卡纳塔克邦。今年1月,特斯拉还收购了价值15亿美元的比特币,打算在未来接受这种加密货币作为支付选项。
特斯拉的比特币计划可能会与印度即将出台的禁令相冲突。一位政府高级官员告诉媒体,印度的加密货币禁令将“持有、发行、挖矿、交易和转移加密资产”定为犯罪。不过,特斯拉仍提供其他几种支付选择,比如苹果支付(Apple Pay)。如果特斯拉想在印度为其客户提供同样的加密货币支付选择,它可能需要投资该国准备推出的官方数字货币。
2021-3-19 12:08
其他 | MetisDAO官方声明:MetisDAO并未发行任何形式的代币
据官方消息,MetisDAO注意到,近期在部分社群中,出现了有关销售Metis项目代币、期货和私募份额的信息,并出现了炒作行为。在此,MetisDAO郑重声明,MetisDAO并未发行任何形式的代币,请广大社群注意风险防范,避免遭受损失。
另外,针对市场上出现的销售Metis项目私募份额的行为,MetisDAO提醒投资人注意,按照之前签署的合约条款,这种转售行为一经发现,MetisDAO有权撤回签署的合约,并不予交付相应的私募份额。
MetisDAO全球团队正在全力进行Layer2 DAO测试网的上线准备工作,请社群和投资人回归到项目本身,避免任何投机和炒作行为。
2021-3-19 12:03
2021-3-19 12:03
2021-3-19 12:03
其他 | 安全提醒:警惕Filecoin RBF假充值攻击
据慢雾区消息,Filecoin出现“双花交易”,多家交易所关闭FIL充值通道。慢雾安全团队对相关信息分析发现,这是一起Filecoin的RBF假充值攻击事件而非”双花攻击“。攻击者预先发送一笔低gas-feecap的交易,然后通过提高gas-premium和gas-feecap替换原交易(RBF交易),此时RBF交易优先被打包上链,旧交易被丢弃,但是由于FilecoinlotusRPC有一个特性,在查询旧交易的执行状态时(使用lotusstateexec-trace命令或者通过REST接口Filecoin.StateGetReceipt获取)返回的是RBF交易的执行状态,导致交易所对两笔交易重复入账。
慢雾安全团队提醒交易所及相关钱包方,在充值入账时,需要对比查询返回结果中的cid与查询的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比,避免重复入账。与此前慢雾区发现的假充值攻击不同的是,此次攻击方法更加隐蔽,是由于Filecoin节点特性所引起,交易所及相关钱包方应再次检查充值入账程序,除了RBF外,还有常规的To、Value、转账类型Method,以及执行结果ExitCode等字段的校验,必要时可请安全审计公司协助检测。
2021-3-19 11:59
2021-3-19 11:59
2021-3-19 11:56
2021-3-19 11:56
