Ripple 技術長David Schwartz 最近透露了250 億XRP 交易嘗試,該交易試圖透過利用XRP Ledger (XRPL) 部分支付功能來利用Bitfinex。
The 加密貨幣Basic 昨天披露,鯨魚追蹤服務的領導者Whale Alert 錯誤地發出了250 億XRP 交易的警報,給人一種交易成功的錯誤印象。
不出所料,這項披露引起了人們的注意,因為據稱該交易轉移了XRP 總流通供應量的近一半。這將標誌著史上最大的單筆XRP 交易。
然而,人們發現交易並不成功,而是鯨魚追蹤資源在讀取XRPL資料時遇到了錯誤。此外,Bitfinex 技術長Paolo Ardoino 指出,該交易是對Bitfinex 的一次利用嘗試。
值得注意的是,攻擊者利用了XRPL 的部分支付功能,該功能允許發送者在「金額」欄位中指定特定金額,但發送的金額要小得多。
該漏洞利用失敗是因為Bitfinex 透過專注於「交付金額」而不是「金額」來正確處理部分付款。
Ripple 技術長澄清誤會
儘管如此,在專注於加密貨幣的媒體CoinDesk 的報告中,標題表明250 億XRP 事實上確實「移動」。 David Schwartz 對此發表評論,強調「數十億XRP」的說法具有誤導性。
「轉移了數十億XRP」的說法具有誤導性,實際轉移金額僅值幾美分。感謝 @Bitfinex 和 @paoloardoino 用於有效地消除攻擊嘗試。
這裡發生的事情並不是XRP Ledger 的缺陷或漏洞。部分… https://t.co/qucpX7yJ7B
— 大衛「喬爾卡茨」施瓦茨(@JoelKatz) 2024 年1 月16 日
施瓦茨表示,交易的實際金額以美分為單位,而不是數十億。他對Bitfinex 和Arduino 挫敗了駭客企圖表示讚賞,但他確認這種情況並不是由於XRPL 漏洞或缺陷造成的。
Schwartz 強調,部分支付標誌是XRPL 上的安全功能,而不是錯誤。值得注意的是,當寄件者希望退回發送到其地址的任何不需要的付款而不給自己帶來任何費用時,該功能非常有用。
然而,一些惡意行為者可能會尋求利用該功能並利用機構在處理部分付款方面的錯誤配置。
Ripple 技術長強調,對Bitfinex 的攻擊並未成功,因為該交易所正確處理了部分支付。
「今天的挫敗是對所有機構和應用程式的強烈提醒——正確配置和整合的重要性不可低估,」David Schwartz 補充道,並分享了繼續教育部分付款文件的連結。
部分付款漏洞是如何運作的?
對於外行人來說,攻擊者透過在向機構交易的「金額」欄位中指定大量金額來部署部分付款漏洞。
然而,他們發送的數量要少得多。雖然交易成功並在“金額”中顯示大量資金,但它實際上只交付了指定金額的一小部分。
如果機構的系統專注於「金額」並忽略「已交付金額」欄位或部分付款標誌,則該公司可以將其在「金額」欄位中註意到的全部資金記入攻擊者的貸方,而不知道所交付的金額是事實上要小得多。
XRPL 文件 也警告惡意行為者也可以利用該功能詐騙商家。他們透過發送比「金額」欄位中指定的金額少得多的金額來實現此目的。
如果商家只關注這個金額,不知道部分付款標誌,他可以放貨或執行付款服務,而不知道交付到接收地址的實際金額要小得多。
資訊來源:由0x資訊編譯自THECRYPTOBASIC。版權歸作者Sam Wisdom Raphael所有,未經許可,不得轉載!
