API:对于此次Filecoin交易所“双花”事件的勘误_LOT

2021年3月18日，根据相关报道称，由于Filecoin的远程过程调用代码存在“严重漏洞”，出现了“双花”。所谓“双花”，指的是双重支付，一笔资金被花费了两次。这就好比有些人使用投币电话，在硬币上狡猾地穿了一根细绳，尽管投掷了硬币，但实际的交易并没有完成，他可以在打完电话后利用细绳再将硬币取出，如法炮制，便能用这枚硬币打无数次电话。V|jasonbody

但此次这样的说法是不正确的，且具有强烈的误导性。对于此次事件Lotus团队对该报告进行了彻底的调查，并在事后声称“没有发现任何Filecoin网络和RPCAPI代码的相关问题”。链上并不存在双花问题，API代码也没有错误。有关交易所已经修正了该交易所内的错误交易记录。

报告：多数国家对于DApp收益征税缺乏指导:美国国会图书馆 (Library of Congress）报告显示，大多数国家尚未弄清如何对去中心化金融应用程序（DApp）中的收益征税，且没有针对权益证明（PoS）代币的特定准则。虽然许多国家的税务部门已经发布了有关PoW代币的征税指南，但只有少数几个国家专门针对通过抵押获得的代币征税。（Decrypt）[2021/2/4 18:52:20]

事件回顾

事件报告：早前Lotus团队收到交易所错误使用LotusAPI计算Filecoin中的转账/存款。因为用户报告了交易所他们的账户被交易所记账系统错误地重复记录。该问题被记账系统恢复，链上本身并没有重复记录。

Ripple CEO回应批评：XRP对于跨境支付等问题是有效的:Ripple首席执行官Brad Garlinghouse回应了《纽约时报》技术记者Nathaniel Popper的批评，此前有消息称，桑坦德银行仍在犹豫是否使用该公司的原生代币XRP。Popper将矛头指向了Garlinghouse，引用了其在2018年1月关于银行“计划在不久的将来使用XRP代币”的声明。他接着说：“人们是基于Brad Garlinghouse给出的前瞻性预测，用他们的积蓄投资XRP。如果投资者在Brad Garlinghouse谈到银行计划使用XRP的那天把他们的钱投入到XRP，并且一直持有到今天，他们将损失大约90%的投资。”作为回应，Garlinghouse明确表示，他相信“使用XRP解决10万亿美元的问题，比如跨境支付，是有效的”。他进一步解释说，自推出以来，按需流动资金(ODL，即xRapid)的交易量已超过20亿美元，并指出，与2019年上半年相比，其交易量在2020年上半年增长了11倍。（Cointelegraph）[2020/8/14]

API误解：出现此次问题的核心原因在于对Lotus链状态检查API使用不当，在多消息处理时与期待处理方式不同。误解LotusAPI的输出会导致记账系统将原始消息和替换消息都算作相同的发送者和接收者。目前为止只有一个交易所出现了该问题。

声音 | 人民邮电报：区块链契合数字政务对于数据流通安全性的需求:人民邮电报刊发文章《区块链在数字政务领域的应用方向研究》?。文章称，区块链去中心化、不可篡改、非对称加密、可追溯等特性，正好契合数字政务对于数据流通安全性和可信性的需求，通过共识机制构建一个多方参与的信任网络，进一步实现互联网与政务的深度融合，优化政府业务流程，使得政务公开真正走向阳光、透明、可信。区块链有助于建立对数据流通的信任机制，可提升服务效率并降低信息系统运营成本，同步实现信息共享和数据隐私保护。[2019/12/27]

自媒体虚假报道：出现了该问题之后，有关“双花”的不正确的文章在自媒体中传播。大部分的报道已经被勘误，RPCAPI代码并不存在代码问题。

声音 | 欧洲议会经济与货币政策顾问：欧盟对于区块链监管秉承三点原则:11月26日，北欧地区最大的区块链会议 Moontec18-北欧区块链峰会在爱沙尼亚首都塔林召开。欧洲议会经济与货币政策顾问 Dimitrios Pasrrakis在演讲中表示，欧盟对于区块链的监管原则有三点：1.创新原则，即不过度监管从而扼杀创新性；2.技术中立性（ Neutrality），应该由用户决定技术的好坏；3.商业模式的中立性，应该由消费者来决定商业模式的好坏，而不是创业公司或者金融科技公司。他认为，区块链将为欧盟的能源、健康医疗、供应链等各个领域带来根本性的变化。[2018/11/26]

当前采取的行动

受影响交易所：发现错误的交易所立即采取措施对于API的错误使用，暂停了用户的充值、交易和转账。该错误被快速恢复，用户并没有资金损失。该交易所正在采取措施纠正对LotusAPI的使用。

预警：其他交易所受到此次事件的预警，并着手审查他们的代码逻辑，以确保不受此次错误的影响，目前还没有另外的交易所出现同样的错误。

Lotus团队：目前Lotus团队正在积极的与交易所沟通合作，以确保这一事件正确解决，并改进API文档。

社区和媒体：社区某些团队正在积极与媒体联系以消除这次错误事件的负面影响。

社区团队：社区成员提供可以帮助其他社区成员准确、周到地报告问题的方法，避免意外传播错误信息。

技术细节

相同信息：根据Lotus团队披露的消息，此次问题的根源在于有两条消息有相同的发送者/收到者详细信息、相同的nonce但拥有不同的Gas参数——被包含在同一tipset中。这样类似的信息非常常见，但这样的情况通常Filecoin都会安全且正常的处理，不会出现这次错误情况。一般其中一条信息被执行，另一条被忽略。

错误使用API：但这次根据人们对链的检查方式，呈现出了消息被处理两次的样子。具体来说，有关交易所使用了一种错误的处理链状态的方式——在tipset的每个块上调用ChainGetBlockMessages，然后在这些消息上调用StateGetReceipt。

错误的API期望：当StateGetReceipt被调用在两个相似的消息上，它将提供相同的结果给人感觉两种消息都被执行了。这诚然是一种违背直觉思维的行为，但却是有意为之。StateGetReceipt的主要应用场景是在Lotus矿工和处理交易过程中使用的事件处理程序(https://github.com/filecoin-project/lotus/blob/79a8ff04fd5362a367fd7d6469e5287a47baa571/chain/events/events_called.go#L586)中。在消息被替换的情况下，这些模块并不关心返回的信息是对应原始消息，还是对应替换的消息——它们只是想知道消息是否在链上成功执行。我们已经在这里的文档中增加了澄清：https://github.com/filecoin-project/lotus/pull/5838。

API的正确使用方式：大多数交易所都是正确使用了ChainGetParentMessages和ChainGetParentReceipts来记账，以计算出链上执行了什么消息、哪些消息成功。这些都是Lotus本身在链state计算过程中使用的API，以保证使用者能通过这种方式正确反映链状态。

对每一条消息执行StateReplay，可以得到完整的调用结果，这样使用者就可以将返回的InvocResult中的MsgCid与查询消息的CID进行比较。这是推荐交易所的正确检查链状态并保持内部报告系统同步的步骤。

来源：金色财经

标签：APILOTUSLOTGETThe ApisLots GamingbitGet交易所排名第几

Luna热门资讯