Filecoin分布式存储将改变全球数据承载介质的分布、点对点的传输与访问,更将颠覆HTTP网络通道压力、速度。可以说,IPFS解决的是全球互联网的数据传输方式,Filecoin解决的是全网的存储方式。
Filecoin自从2017年7月全球私募以来,备受各方关注,至今已经进行到Filecoin测试网第二阶段,距离主网上线越来越快。
从官方的甘特图来看,在Filecoin第二阶段想要完成的是全部功能的实现,并且需要通过安全审计。对于一个网络而言,其安全性是至关重要的存在。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
因此,想要知道Filecoin离主网上线还有多远,就要看安全审计做到什么程度。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
就目前而言,测试网第一阶段的表现还算不错,虽然漏洞不断,但最为核心的共识机制并未出现问题,这算是一个大好消息。
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
一旦安全审计顺利完成,主网上线必然如期而至。
我们一直都在强调,Filecoin网络之所以特殊,最主要的原因在于它的收益并非挖矿收益单方,而是三方收益,包括存储收益、挖矿收益以及检索收益,因此我们也不能仅关注挖矿本身。
根据官方的项目进度,检索市场正在逐渐完善,关键功能已经完成,不管后续改动或小或大,相信很快能与我们见面,并让我们体验。
随着第二阶段FIL释放机制的完善,存储市场与检索市场陆续出现,这两部分的收益,尤其是后续检索收益,也会越来越受关注。因此,在第二阶段乃至主网上线后,如何参与Filecoin生态,我们可以综合考虑自身情况。
在Filecoin生态中,Filecoin挖矿的前提是提供存储服务,那些有能力提供高质量存储服务的矿工可能取得更大的收益。
即使只是参与Filecoin挖矿,也不简单。在2019年5月10日的矿工社区视频会议上,Filecoin团队提到参与挖矿有两种形式,一种是专业矿工,一种是休闲矿工。
休闲矿工是利用自己的闲置设备进行挖矿,利用沉没成本,挖到矿算额外奖励。而专业矿工则不同,是进行投资,这样的话,需要投资资源利用的最大化,降低成本,提高效率。
对于Filecoin挖矿来说,官方有一条消息需要我们注意:1月14日官方核心开发人员Why在Slack上明确表示Filecoin主网不支持1GB扇区,并在重置后的测试网放弃支持1GB扇区,只测试32GB扇区。
为什么要使用32G扇区呢?官方真的要排除中小矿工么?
最重要的原因还是归结于安全性。
早期的网络更多的需要大中型矿工能够进入网络,以大型算力维护节点。同时,以32G为密封单位对于存储矿工而言,一是能够加速他们存储密封的效率,二也能够降低他们使用垃圾存储加速出块的概率。
因此,扇区确定不使用1GB而使用32GB作为单位,其实是在硬件配置成本和网络使用成本上增加了作恶成本,但是此举产生的副作用就是普通的家庭矿机可能尚未发挥作用就遭到淘汰。
那么对于大量矿机来说,硬件能否达到要求是其能否参与测试的原因,早期低配的很难启动和参与。Filecoin网络中,技术能力的高低在网中也是至关重要的。
不用扫一扫,不用摇一摇,搜索ipfskefu,朋友圈尽知FIL
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。