[神鱼:呼吁项目方规范使用授权功能,用多少授权多少,不要无限授权]金色财经报道,神鱼(DiscusFish)发推特称:“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心;作为协议参与者,没事取消取消授权,换换地址,防止被一窝端”。
此前金色财经报道,据CertiK监测,跨链DEX聚合器Transit Swap遭受攻击,导致用户的资金从钱包中被取出。到目前为止,损失估计约为2000万美元(约49815枚BNB和约5182枚ETH)。该项目目前已暂停运营。
其它快讯:
神鱼:Filecoin lotus节点的一些返回值不是很符合常规逻辑:神鱼及Cobo官方今日给出Filecoin“双花攻击”细节:Filecoin lotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF(replace by fee),则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果!
Cobo Custody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlotckMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的过程中,Cobo Custody技术团队发现lotus节点的一些返回值也不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。Cobo Custody技术团队对此作了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。[2021/3/19 19:00:06]
声音 | 神鱼:矿业的发展离不开那些痛苦的阶段:1月3日,F2Pool创始人神鱼在鱼池大客户年度答谢宴上发表演讲。他向观众展示了一张图,图中的虚线代表了挖矿痛苦指数(即挖矿盈利情况),并表示,矿业的发展离不开那些痛苦的阶段。历史上有两次挖矿盈利水平极低的时候,第一次是在2015年底,这些困难逼迫大家从工业园区挖矿转向水电、大规模挖矿时代;第二次是在2018年底,币价暴跌,甚至出现矿机按斤卖,这些苦难也催生了低功耗高算力矿机的持续迭代发展。[2020/1/3]
声音 | 神鱼:比特币这一轮熊市底部在3000美金附近:据相关媒体报道,近日,神鱼对这一轮熊市中比特币底部价格进行了预测。“假设历史是重复的,那么在最近数个月内可能到达这一轮(熊市)的最底部。我们预计到3000美金可能是一个非常底部的状态。”[2018/11/24]
郑重声明: 神鱼:呼吁项目方规范使用授权功能,用多少授权多少,不要无限授权版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。