神魚：下半年關注以太坊升級、L2、MPC技術的錢包以及傳統機構ETF申請

金色財經報道，Cobo聯合創始人兼CEO神魚近日在一次內部活動上回顧了2023上半年行業重大事件及影響，并對未來下半年值得關注的事件進行了分析。下半年關注三件事，首先，以太坊在下半年會有一次升級，提高性能；其次，L2會在未來6-12個月——大概率是6個月內主網上線，包括Scroll、ZKS等一系列的二層網絡都在爭取成為第一個，從而獲得一個比較好的先發優勢。第二個共識是，基于MPC技術的無私鑰錢包和鏈上的AA智能錢包，可能隨著L2上線會逐步形成統一的標準，從而帶來大規模的推廣和應用。第三個重要問題，是傳統機構ETF的申請。

神魚：Filecoin lotus節點的一些返回值不是很符合常規邏輯:神魚及Cobo官方今日給出Filecoin“雙花攻擊”細節：Filecoin lotus節點提供了多個API用于鏈上交易的獲取，例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容，StateGetReceipt可以獲取指定交易ID對應的執行結果，此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析，并基于此為用戶入賬。不過他們沒有注意到，StateGetReceipt接口有個比較不符合常規邏輯思維的設計，就是在獲取指定交易ID的執行結果時，如果這筆交易已經被RBF（replace by fee），則會返回最終RBF成功的那筆交易的執行結果，并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。

假設攻擊者首先發送了TX1，對應的交易ID為TXID1，隨后攻擊者對TX1進行了RBF，生成TX2，對應的交易ID為TXID2，最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢，都能得到執行正確的結果！

Cobo Custody技術團隊在對接Filecoin的過程中已經發現了上述問題，因此沒有采用ChainGetBlotckMessages和StateGetReceipt來獲取鏈上的轉賬行為，而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易，從而從根本上避免了被雙花充值的風險，因此未受此次雙花充值攻擊的影響。

此外，在使用ChainGetParentMessages和ChainGetParentReceipt的過程中，Cobo Custody技術團隊發現lotus節點的一些返回值也不是很符合常規邏輯思維，例如對于空塊的處理是有一些問題的。Cobo Custody技術團隊對此作了妥善的安全處理，在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼，避免其他的雙花充值攻擊行為。[2021/3/19 19:00:06]

神魚：Shitcoin作為質押物，質押率要低:魚池創始人神魚發微博回應“幣安智能鏈借貸平臺Venus添加CAN造成大量BTC及ETH被借走”事件表示，Shitcoin作為質押物，質押率要低。由于流動性有限，一定要有要有債務上限。MKR連USDC都有債務上限。也能防止類似cover的bug。[2021/1/14 16:10:05]

聲音 | 神魚：不是中本聰 也不場外出幣:神魚剛在微信上發布正式聲明指出，前幾天本人在微博調侃說“中本聰”是我。近日有人造謠本人委托朋友場外出40萬枚btc。特此正式聲明本人不是中本聰，也不場外出幣。大家謹防場外上當受騙，被人利用做空砸盤等。[2019/1/21]