04月11日凌晨00:17,PeckShield態勢感知平臺監測到TCX1Cay…開頭的黑客,創建了名為BTTx,tokenid為1002278的TRC10token,并于凌晨00:25至01:00之間向多個地址轉入4,000萬個BTTx代幣,這多個地址對TXHFhq…開頭的BTTBank理財類合約實施攻擊。BTTBank項目介紹
BTTBank又名TronBankBTT,是屬于TronBank旗下的一款專屬于BitTorrent(BTT)-ThetokenthatwillenableblockchainmassadoptionBTTtoken的投資產品,根據官網TronBank介紹:TronBankBTT的智能合約將為您產生每天3.6-6.6%的投資收益:
孫宇晨:波場TRON主網啟動5年來成就斐然,肩負全新使命再出發:據官方消息,6月25日,波場TRON創始人、火必Huobi全球顧問委員會成員孫宇晨發布推文慶祝波場TRON 5周年獨立日,孫宇晨表示,作為波場TRON的創始人,在這個特殊的日子里,他由衷感謝大家的一路相伴和支持。“讓我們一同共創未來,我們的故事才剛剛開始。”孫宇晨說。
孫宇晨在推文附帶的慶祝視頻中表示,“過去5年,我們一直致力于推動互聯網去中心化。如今我們又有了建設元宇宙金融自由港的全新使命。在此過程中,我們不斷加快國際化與合規化的腳步,積極推動生態繁榮發展,布局行業各類賽道,并在教育、環保、人工智能等領域長期落實工作。我們構建了一套成熟的由公鏈、交易所和穩定幣組成的基礎設施,充分服務于社區每一個用戶。我們可以自豪的說,我們一直熱愛并忠于這份事業。”
此外,孫宇晨直言,用戶的信任是波場TRON最核心的競爭力。他希望在未來攜手全球80億人,共同實現金融自由。[2023/6/25 21:59:16]
其理財過程大致如下:用戶根據收益率和投資期限購買相應的理財產品;投資期限到期之后,用戶提現理財產品到自己的錢包使用上,和當前的各類P2P理財產品類似,用戶的使用門檻僅在于一個TRON錢包,但從產品收益率來看,這個資產回報率還是相當可觀的。攻擊回溯
波場TRON生態NFT交易平臺APENFT Marketplace已正式上線:據官方消息,波場TRON生態NFT交易平臺APENFT Marketplace已于4月15日20:00正式上線。同一時間,APENFT召開以“Game Changer”為主題的全球線上發布會,本次發布會聯動了由歐洲、美洲、非洲、東亞、南亞等多個國家和地區的加密伙伴們組成的全球十大分會場,并邀請了波場TRON創始人孫宇晨先生作為重磅嘉賓,面向全球用戶分享對APENFT Marketplace的期待及生態扶持的愿景。
APENFT致力于成為元宇宙時代的引領者。APENFT通過線上與線下展覽的結合,推動全球藝術品NFT化并扶持優質創作者;通過投資并孵化全球優質NFT與Gamefi項目,通過打造NFT交易平臺,構建符合Web3.0精神的NFT生態。[2022/4/15 14:27:41]
攻擊事件簡述
波場基金會和APENFT為NFT項目啟動1億美元基金:金色財經報道,波場基金會已與NFT市場APENFT聯手推出1億美元的基金,以支持NFT項目和數字藝術家。
APENFT表示,Art Dream基金旨在收集“有意義的故事并促進元宇宙中的金融和文化包容性”。元宇宙是一個由虛擬世界、增強現實和互聯網服務融合產生的環境。
藝術家將獲得波場基金會和APENFT的支持和指導,包括版權保護和其他法律方面的建議。[2021/11/4 6:30:38]
去年年底,波場孫老板發起12號提議,即符合波場TRC10規范的Nativetoken的名字將不再唯一,涉及到TRC10token的轉賬等操作將使用ID來代替。這使得波場創建token的流程變得簡單易上手,然而卻帶來一個潛在的威脅,一旦合約疏于檢查tokenid的匹配性,就會存在假幣攻擊的可能。簡而言之,本次BTTBank遭受攻擊正是因為缺乏tokenid的一致性驗證造成的。背景知識
波場孫宇晨:2021仍將是DeFi大年,預計明年還會有大量以太坊需求外溢至波場:12月23日,“瞰見未來—國際區塊鏈技術創新峰會暨Cointelegraph中文一周年”大會在三亞灣海居鉑爾曼酒店拉開序幕,本次大會由Cointelegraph中文主辦、Nova聯合主辦,匯聚重磅嘉賓、聚焦行業熱門議題,共討2020年區塊鏈技術發展、落地應用場景,展望區塊鏈行業的未來發展趨勢。
會上,Cointelegraph中文CEO Vadim Krekotin與波場創始人孫宇晨圍繞加密貨幣采用、比特幣市場變化、DeFi發展趨勢等話題展開線上爐邊對話。
孫宇晨在對話中表示,“2021仍將是DeFi大年。我認為明年還會有大量以太坊需求外溢至波場,其實我們看到的波場版USDT就是一個很明顯的例子。目前,波場一天轉帳量大概在40萬至50萬筆,這其實已經遠遠大于以太坊本身的需求”。[2020/12/23 16:17:06]
TRON中的token分為幾種規范:TRXTRC20TRC10其中,TRX為TRON的平臺幣,類似于Ethereum中的ETH。而TRC20是與EthereumERC20兼容的token,實質是一種可編程的智能合約,由用戶通過智能合約創建token之后,其token的轉賬、發送等操作均在智能合約內部完成,對于一般的小白用戶來說,ERC20/TRC20使用過于復雜,不便于上手使用。故此,TRON中引入了TRC10token,這是一種可以由用戶直接操控的token,每一個自然用戶支付1024TRX便可創建一個TRC10token,同時一個用戶只能創建一個TRC10token。每一個TRC10token在創建之后,由系統分配一個唯一ID,這是一個從1,000,001開始往后自增的整數,一個tokenId標識一個唯一的token,當前TRON平臺上共有1850+個TRC10。為了提高TRC10的流動性和使用價值,TRON平臺在Odyssey3.2版本之后,使能了在智能合約內部轉賬TRC10token的功能,參考TRC10TransferinSmartContracts,其示例代碼如下所示:
賽迪發布全球公有鏈指數:波場TRON全球排名居第二:據中國電子信息產業發展研究院(賽迪研究院)發布的第18期賽迪全球公有鏈技術評估指數顯示,波場TRON在全球37條公有鏈中綜合排名居第二,其中,波場TRON總指數達135.9,波場TRON的應用性也是位列所有公鏈中排名第二。
波場TRON以推動互聯網去中心化為己任,致力于為去中心化互聯網搭建基礎設施,旗下的TRON協議是全球最大的基于區塊鏈的去中心化應用操作系統協議之一,為協議上的去中心化應用運行提供高吞吐,高擴展,高可靠性的底層公鏈支持。
賽迪全球公有鏈技術評估工作自2018年初開始實施,由賽迪(青島)區塊鏈研究院有限公司組織實施,賽迪智庫信息化與軟件產業研究所、賽迪智庫網絡安全研究所、中國軟件評測中心、《網絡空間安全》雜志等共同參與。[2020/6/19]
上述代碼簡單解釋如下:transferTokenTest()接口內部用于轉賬TRC10token,接口調用方可以通過address.transferToken(uint256tokenValue,trcTokentokenId)往address轉賬數量為tokenValue的tokenid為tokenid的TRC10token;msgTokenValueAndTokenIdTest()接口表明,調用者可以直接在發送的message中加入tokenid和tokenvalue字段,這也說明了TRC10是TRON平臺上的一等公民,屬于內置類型,與TRC20通過函數參數的形式來表征token價值是完全不同的;getTokenBalanceTest()通過tokenid獲取賬號的余額。由此可知,TRC10token可以在智能合約內部通過tokenid完成轉賬,TRC10token作為價值承載者,在智能合約內部即反映在tokenid的差異上。因此,合約開發者在處理TRC10轉賬相關邏輯時,需要特別注意tokenId的有效性和真實性。攻擊事件
PeckShield安全人員在分析BTTBank合約時,發現其合約源碼實現中存在致命漏洞,可導致項目方資金受損。下圖為黑客攻擊的原過程:
黑客先行創建一個名為BTTx的TRC10token;黑客往一批自己控制的賬號中轉入4,000萬個BTTxtoken;通過控制的賬號往BTTBank合約發起數次攻擊;最后順序將BTT提取到控制的賬號中。下文從BTTBank投資及贖回的過程還原本次BTT假幣攻擊的全過程。投資投資的核心代碼如下:
public接口的invest()提取msg.tokenvalue,并調用private的_invest()函數完成投資的過程,_invest()內部計算并保存用戶這一次的投資數量、時間等信息到合約的內部資產賬單上。值得注意的是,這里invest()只提取了msg.tokenvalue,這里并沒有提取msg.tokenid,也沒有驗證msg.tokenid是否屬于BTTToken的tokenid(為1002000)。前面我們提到BTTBank是一款投資理財類DApp,用戶存入BTTtoken,資產到期之后,再贖回投資的BTT和對應的利息,在這里并沒有檢查是否是真正的BTT,也就是不論你投資的阿貓阿狗幣,都被認為是BTTtoken。提現
提現的核心代碼如下:
贖回的過程比較簡單,先從合約的內部投資賬單上計算用戶已經到期的投資金額,并將這一部分投資金額轉回給用戶,注意:msg.sender.transferToken(withdrawalAmount,BTT_ID)中是固定的BTT_ID即1002000.至此,用戶投入BTT,收獲BTT;而黑客投入BTTx,收獲BTT,一個完美的『貍貓換太子』過程。防御策略
PeckShield安全人員在此提醒廣大開發者,雖然TRC10/TRC20都是token,但兩者在TRON平臺上有著本質的差異性,若要在智能合約內部轉賬TRC10,一定要檢查所轉移的TRC10對應的tokenid是否為預期值。針對上例,可將投資代碼增強如下:
另外,PeckShield安全人員根據上述的代碼樣式分析TRON平臺上其它類BTTBank合約時,也發現了相似的問題。在此,PeckShield安全人員提醒在進行智能合約開發的時候,雖然復用現有代碼可能會帶來開發功能上面的便利,但也須注意可能帶來的安全風險。
Tags:TOKETOKTOKENKENProvoco TokenFruits TokenBlockchain Store TokenInfinity Rocket Token
周報摘要上周全球數字貨幣資產日均市值上漲19.81%,日均交易量上漲78.39%。全球30家代表性交易所,新上交易對8個。全球截止公募的項目共10個,項目軟頂總和超5000萬美元.
1900/1/1 0:00:00作者|秦曉峰編輯|盧曉明4月2日,比特幣開始暴漲,半小時漲幅高達15%,目前火幣、幣安、OKEX三大交易所價格超過4900美元.
1900/1/1 0:00:00作者|秦曉峰編輯|盧曉明近日,以太坊社區對以太坊基金會透明度提出質疑。社區質疑以太坊社區成員、EthHub創始人EricConner對以太坊基金會透明度表示質疑.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:海倫,Odaily星球日報經授權轉載。“2019年開始,可能有一個詞變得很熱,就是‘邊緣計算’,它產生的動因之一是我國5G的發展,邊緣計算的爆發恰恰給了區塊鏈一.
1900/1/1 0:00:00Odaily星球日報譯者|Moni“硬分叉”這個詞經常會在加密社區引發激烈的爭論,有些區塊鏈項目社區明確表示接受鏈上治理.
1900/1/1 0:00:004月8日,比特大陸公布了螞蟻礦機S17和S17Pro的參數,兩款礦機均搭載第二代自研7nm芯片BM1397.
1900/1/1 0:00:00