Filecoin“雙花”事件回顧

起初，在3月18日晚間，有用戶反饋，在某些交易所內(nèi)充入FIL，“雙花”操作后再提現(xiàn)，依然可以再收到一筆同樣數(shù)量的FIL。類似問題似乎在多個(gè)交易所均有出現(xiàn)，有分析認(rèn)為是Filecoin主網(wǎng)問題。

隨后，在3月19日凌晨Filfox和FileStar開發(fā)者發(fā)現(xiàn)Filecoin充值入賬存在“雙花”風(fēng)險(xiǎn)。根據(jù)Filfox瀏覽器和FileStar開發(fā)者的共同分析稱：Filecoin官方推薦的交易所入金流程存在“雙花”的風(fēng)險(xiǎn)，建議交易所暫緩Filecoin的入金。該“雙花”風(fēng)險(xiǎn)已經(jīng)影響到某交易所的入金，并得到“雙花”驗(yàn)證。目前Filfox和Filestar的開發(fā)者已經(jīng)協(xié)助部分交易所改進(jìn)充值流程，并通知到Filecoin官方。

緊接著，協(xié)議實(shí)驗(yàn)室發(fā)聲表示：經(jīng)過Filecoin開發(fā)團(tuán)隊(duì)確認(rèn)，F(xiàn)ilecoin沒有“雙花”問題，可能是因Filfox瀏覽器前端造成了誤導(dǎo)，使得某些用戶認(rèn)為在交易所充值Filecoin過程中有“雙花”可能。

盡管如此，火幣還是暫停了FIL充提業(yè)務(wù)。火幣官方公告，由于FIL(Filecoin)錢包升級(jí)，Huobi Global現(xiàn)已暫停FIL的充幣和提幣業(yè)務(wù)。

接著，F(xiàn)ilfox和FileStar開發(fā)者回應(yīng)協(xié)議實(shí)驗(yàn)室：經(jīng)過慎重細(xì)致的分析，可以確認(rèn)是Filecoin官網(wǎng)推薦給交易所的充值流程有嚴(yán)重問題，可以構(gòu)造特殊交易，騙過交易所的充值檢測(cè)，從而實(shí)現(xiàn)對(duì)一筆交易進(jìn)行“雙花”。通過這種構(gòu)造特殊交易的方式，目前某交易所已經(jīng)有大約價(jià)值500萬(wàn)美金的Filecoin的虛假充值。

經(jīng)Filfox開發(fā)者確認(rèn)，F(xiàn)ilFox瀏覽器前端顯示一切正常，并且即使有任何問題，也不會(huì)影響交易所的入金問題，交易所入金是依據(jù)Filecoin官方推薦的流程進(jìn)行的，和瀏覽器顯示沒有任何關(guān)系。

緊接著，F(xiàn)ilecoin官方在推特發(fā)聲回應(yīng)：Lotus團(tuán)隊(duì)收到一份報(bào)告，指出交易所錯(cuò)誤地使用Lotus API來(lái)評(píng)估Filecoin網(wǎng)絡(luò)中的轉(zhuǎn)賬/存款。Lotus團(tuán)隊(duì)對(duì)此進(jìn)行調(diào)查發(fā)現(xiàn)，并沒有網(wǎng)絡(luò)問題或API漏洞。且團(tuán)隊(duì)正在協(xié)助相關(guān)交易所對(duì)接正確提現(xiàn)和充值處理邏輯，以避免后續(xù)問題。協(xié)議實(shí)驗(yàn)室同時(shí)給出圖片為證：

Filecoin“雙花”事件對(duì)FIL的影響

在“雙花”事件發(fā)生前，由于SAFT投資者將在4月15日全部線性釋放完畢(是早期參與眾籌和基金的持幣量釋放減少，而并非挖礦量大幅減產(chǎn))，以及全網(wǎng)有效算力的持續(xù)增長(zhǎng)、灰度新增FIL基金產(chǎn)品，再加上此前的第九城市、新元科技等公司相繼斥資千萬(wàn)美元級(jí)別加入Filecoin行業(yè)，多重因素疊加下FIL價(jià)格來(lái)到新高。

此次Filecoin因“雙花”事件影響，F(xiàn)IL的價(jià)格也在短時(shí)間內(nèi)經(jīng)歷了急劇波動(dòng)，從消息發(fā)出最低跌破75美元，F(xiàn)ilecoin官方澄清后又一度回到80美元以上。

Filecoin官方采取的行動(dòng)

就3月9日“雙花”事件，目前Filecoin官方采取的行動(dòng)如下：

1)交易的影響。該交易所發(fā)現(xiàn)了這種錯(cuò)誤使用API的行為，并立即采取行動(dòng)，停止存款、取款和轉(zhuǎn)賬。他們已經(jīng)恢復(fù)了有問題的不正確交易(因此在這個(gè)事件中沒有資金損失)，并且正在糾正他們對(duì)Lotus API的使用，以符合推薦的用途。

2)其他交易所。其他交易所已經(jīng)收到了警告，并正在檢查它們的代碼，以確保它們沒有受到影響。許多審查已經(jīng)完成——據(jù)我們所知，目前還沒有其他交易所以這種方式錯(cuò)誤這個(gè)API。

3)Lotus團(tuán)隊(duì)。Lotus團(tuán)隊(duì)正在積極地處理所有交易，以確保正確處理此行為，并改進(jìn)API文檔，以確保其他所有人正確地檢查Filecoin區(qū)塊鏈的狀態(tài)。

4)社區(qū)和媒體團(tuán)隊(duì)。一些組織正在與媒體合作，澄清所謂事件的細(xì)節(jié)和事實(shí)，并幫助消除錯(cuò)誤信息。

5)社區(qū)團(tuán)隊(duì)。社區(qū)成員正在創(chuàng)建材料，以幫助其他人準(zhǔn)確和深思熟慮地報(bào)告問題，以避免意外傳播錯(cuò)誤信息。

科普：什么是“雙花”

“雙花”(double spending)即雙重支付，指在數(shù)字貨幣系統(tǒng)中，由于數(shù)據(jù)的可復(fù)制性，使得系統(tǒng)可能存在同一筆數(shù)字資產(chǎn)因不當(dāng)操作而被重復(fù)使用的情況。簡(jiǎn)單來(lái)說(shuō)，就是用第一次交易的代幣，再次進(jìn)行交易，進(jìn)而產(chǎn)生虛假交易。

舉例：比如A錢包里有100元，A可以去購(gòu)買等值的物品。當(dāng)A去商場(chǎng)后，發(fā)現(xiàn)桌子和椅子的單價(jià)都是100元，那A只能買其中一樣商品。上面所說(shuō)的“雙花”問題，正好與之相反，同樣的100元卻可以通過某種不當(dāng)操作而同時(shí)購(gòu)買桌子和椅子這兩款商品。

那么“雙花”問題是怎么發(fā)生的?在區(qū)塊鏈系統(tǒng)中，“雙花”問題會(huì)在以下情況下出現(xiàn)：

1)由于共識(shí)機(jī)制導(dǎo)致區(qū)塊確認(rèn)時(shí)間長(zhǎng)，用一個(gè)數(shù)字貨幣去進(jìn)行一次交易，可以在這筆交易還未被確認(rèn)完成前進(jìn)行第二筆交易。

2)通過控制算力來(lái)實(shí)現(xiàn)“雙花”。第一次交易被驗(yàn)證通過并被記錄入?yún)^(qū)塊鏈后，在該網(wǎng)絡(luò)中有更高的算力檢驗(yàn)出新的更長(zhǎng)鏈條，在該鏈條中這筆錢被第二次花費(fèi)。由于第二次花費(fèi)的區(qū)塊鏈更長(zhǎng)，使第一次交易區(qū)塊所在鏈條為無(wú)效鏈條。這樣一來(lái)，第一次交易區(qū)塊鏈被區(qū)塊鏈網(wǎng)絡(luò)放棄，第一次花費(fèi)的錢又回到了自己的賬戶，就導(dǎo)致了“雙花”問題。

區(qū)塊鏈歷史上曾發(fā)生過不少“雙花”攻擊，但最知名的“雙花”事件是比特幣黃金B(yǎng)TG。2018年比特幣黃金B(yǎng)TG受到”雙花“攻擊，攻擊者竊取超過388200個(gè)BTG，價(jià)值高達(dá)1860萬(wàn)美元。

隨著越來(lái)越多人投身區(qū)塊鏈行業(yè)，在為行業(yè)注入新活力的同時(shí)，由于部分從業(yè)者相關(guān)知識(shí)的薄弱以及安全意識(shí)的匱乏，也給攻擊者提供了更多的可乘之機(jī)。神算礦池認(rèn)為，安全問題必須重視!也希望越來(lái)越多的項(xiàng)目能夠保證用戶們的資產(chǎn)安全，使得區(qū)塊鏈以及數(shù)字貨幣能夠有更多的應(yīng)用。