買以太坊 買以太坊
Ctrl+D 買以太坊
ads

KEN:少寫一行代碼的教訓:TronBank 1.7 億 BTT 僅 3 小時就被洗劫一空_TOK

Author:

Time:1900/1/1 0:00:00

波場DApptronbank于4月11日凌晨1點遭受假幣攻擊。11日上午Beosin成都鏈安技術團隊作出初步分析,判斷該次假幣攻擊事件主要原因在于合約沒有嚴格驗證代幣的唯一標識符代幣ID,錯誤的將攻擊者自己發行的無價值代幣識別為價值85萬元的BTT代幣,從而造成了損失。同時及時發出預警,預判黑客團隊未來可能將攻擊重點轉向波場。

原文標題:《BTT假幣攻擊事件細節披露及修復方案》

現針對此次事件,成都鏈安技術團隊進一步作出深度分析。

首先,我們先看此次BTT假幣攻擊事件中的漏洞源碼,如下圖:

成都鏈安技術團隊分析發現,該假幣漏洞是由于invest函數只判斷了msg.tokenvalue,而沒有判斷msg.tokenid是否為真實BTT代幣的ID:1002000所導致。

Immunefi推出Web3基本安全標準“The Rekt Test”:金色財經報道,Immunefi和其他機構正在推出Web3基本安全標準“The Rekt Test”。Rekt 測試涵蓋七項安全評估:系統文檔和角色、密鑰管理和訪問控制、事件響應和危機管理、團隊和人員安全、代碼安全和測試、外部審計和漏洞管理以及攻擊緩解和用戶保護。該測試還與 Polygon Labs、Solana Foundation、Fireblocks、DeFi Education Fund 和 Ribbit Capital 合作。[2023/7/27 16:02:03]

TRC10標準是波場本身支持的技術代幣標準,標準規定了兩個重要參數:msg.tokenvalue和msg.tokenid。其中msg.tokenvalue表示當前msg調用的代幣數量,而msg.tokenid表示當前調用者使用的代幣種類標記ID。每種TRC10標準的代幣都有一個獨一無二的標記ID作為代幣種類證明。

過去24小時以太坊鏈上手續費收入突破970萬美元:金色財經報道,Cryptofees.info數據顯示,最近24小時,以太坊鏈上手續費收入為9766194.91美元,Uniswap鏈上手續費收入為3017273.23美元,GMX鏈上手續費收入為797887.21美元,Bitcoin鏈上手續費收入為585236.48美元,BSC鏈上手續費收入為543256.21美元,SushiSwap鏈上手續費收入為338979.68美元。[2023/2/15 12:08:35]

BTTBank合約在收取代幣時沒有對收到代幣的tokenid做任何判斷,合約中僅僅判斷了msg發送代幣的數量msg.tokenvalue。當合約收到調用者發送的代幣數量msg.tokenvalue時,合約錯誤的認為該代幣數量是BTT的數量。但實際上調用者使用的是假幣tokenid為1002278的代幣數量。BTTBank將假幣視同于真幣記錄到投資者賬號。

可編程隱私網絡 Aleo 將于 3 月開始推出針對開發者的激勵計劃:2月14日消息,可編程隱私網絡 Aleo 將于 3 月開始推出一項激勵計劃,鼓勵開發人員在 Aleo 上部署應用程序。

此前報道,Aleo 于 2022 年 2 月宣布完成 2 億美元 B 輪融資,SoftBank 和 Kora Management 領投,a16z、Tiger Global、Samsung Ventures 參投。[2023/2/14 12:06:10]

而攻擊者賬號TRC10代幣中存在BTT和BTTx兩種代幣,可見兩種代幣的ID差異,BTT代幣ID:1002000,BTTx代幣ID:1002278。

攻擊者于4月11日凌晨創建發行990,000,000,000,000,000個名為BTTx的假幣

美聯儲威廉姆斯:美聯儲加息幅度可能超過FOMC的終端利率預期:金色財經報道,美聯儲威廉姆斯表示,美聯儲的政策進展順利。不需要超過6%的聯邦基金利率。美聯儲比歐洲央行更接近結束加息,美聯儲加息幅度可能超過FOMC的終端利率預期,美國沒有陷入衰退,不認為它會陷入衰退。[2022/12/17 21:49:47]

接著在假幣創建完成后,攻擊者將四千萬創建的假幣BTTx發送給四個攻擊小號TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY,TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4,TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh,TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K

當攻擊小號收到假幣后,攻擊者又調用BTTBank合約有缺陷的invest函數。

CFTC指控顯示:FTX 的系統幫助Alameda交易訂單接受速度快于其他交易員:12月14日消息,根據美國商品期貨交易委員會(CFTC)向曼哈頓聯邦法院提交的訴狀中顯示,FTX為兄弟公司Alameda秘密開設了技術特權,可以繞過交易所交易架構的某些部分并回避一些自動驗證流程。Alameda 的交易訂單接收速度比其他 API 用戶快幾毫秒,在高頻交易領域,這是一個重要的時間優勢。CFTC 稱,如果其他客戶“一次下了多個訂單,這些檢查將按順序進行,以便確認每筆交易都是可行的”。“但這不適用于Alameda賬戶。”這樣就避免執行交易前驗證可用資金等自動化步驟。(彭博社)[2022/12/14 21:43:56]

接下來在觸發invest函數后,BTTBank項目方將大量BTT轉入了預先設置的投資賬號TPk,TT4,TGD,這筆資金實際上未被黑客獲得,但項目方在沒有收到BTT的情況下進行了真實的投資。

下圖為源碼中對三個投資地址的具體設置代碼:

BTTBank投資的三個投資賬號中都收到了大量BTT代幣,如下圖所示。

黑客觸發invest函數后通過withdraw函數取到了BTTBank獎勵池的真正的BTT代幣,最終四個小號將贓款集中轉向黑客主賬號TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW

攻擊者賬戶中的BTT贓款和攻擊使用的假幣BTTx如下:

此外,成都鏈安技術團隊對在Github上開源的其他項目方代碼進行檢查,發現還有其他項目方存在此安全問題:如下為有問題的合約地址:TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx

TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5

TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy

TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV

TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i

因此Beosin成都鏈安呼吁廣大項目方提高警惕予以重視,檢查自己的合約是否存在上述安全漏洞,并及時進行更新。

發生原因:

據Beosin成都鏈安技術團隊分析,上述問題的發生存在兩個方面的原因:1)開發者對波場代幣的使用機制研究不足,可能套用了以太坊的代幣使用方法;2)攻擊者在遷移其它公鏈上存在的攻擊方式,如EOS已經存在的假幣攻擊方式。

修復意見:對此,Beosin成都鏈安技術團隊建議:項目方在收取代幣時應同時判斷msg.tokenvalue和msg.tokenid是否符合預期。并給出該漏洞代碼修復方式,如下:

Invest函數增加代碼:require(msg.tokenid==1002000);require(msg.tokenvalue>=minimum);minimum是最小投資額

同時,Beosin成都鏈安提示:黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過eos公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。

并且Beosin成都鏈安也建議各大項目方加強合約的安全防護級別和安全運維強度,盡量防范未然,避免不必要的損失,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,共同維護公鏈安全生態。

本文來源于非小號媒體平臺:

Beosin成都鏈安

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627175.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

PeckShield深入代碼層面分析,黑客究竟如何盜走1.7億BTT?

下一篇:

上線3小時即被盜走1.7億BTT:TronBank未審計代碼致假幣攻擊

Tags:XXXBTTTOKKENXXX價格bttold幣價格CoinEx TokenBaby Santa Token v2

比特幣行情
BLU:蹭熱點專業戶竟暴力抗法,打區塊鏈概念卻無實際進展_超級聯盟鏈

都說區塊鏈項目愛營銷拉盤蹭熱點,但這些招數誰說不是跟傳統上市公司學的呢?A股區塊鏈概念股大都曾蹭區塊鏈概念接連漲停,PANews曾分析61支區塊鏈概念股的業績后發現.

1900/1/1 0:00:00
CIR:加密支付是偽需求?Circle宣布裁員 融資目標縮水幾近一半_TRIP

繼宣布裁員之后,數字貨幣支付公司Circle再一次傳來降低融資目標的消息。據悉,Circle創立于2013年,總部位于都柏林,是一家專注于移動支付和加密貨幣的創業公司,曾“美國版支付寶”稱號.

1900/1/1 0:00:00
HUM:引介 | 以太坊 1.x 乃是改變 “流程” 的一次嘗試_Acumen

編者注:本文為AlexeyAkhunov介紹以太坊1.x理想開發流程的一篇文章,既總結了現有開發流程中的一些局限,也列舉了新開發流程可能會面臨的一些挑戰.

1900/1/1 0:00:00
BTC:幣安趙長鵬起訴紅杉資本損害其名譽| Fun Twitter_blockchaincapital

FunTwitter 每日最新大咖觀點,看我就夠了! 2019/05/23期 本期作者:葉子 01 誰創造了比特幣是否重要?Blockstream首席戰略官SamsonMow:如果中本聰是比特幣.

1900/1/1 0:00:00
XBTC:比特幣算不算虛擬財產?杭州互聯網法院法官這樣看_WXBTC價格

來源|每日經濟新聞 5年前,吳某通過淘寶向上海某科技公司運營的“FXBTC”網站購買了2.675個比特幣,之后便忘了這事,直到2017年5月,當其想要再次登錄“FXBTC”網站時卻發現.

1900/1/1 0:00:00
CER:區塊鏈養貓、云技術養羊 “它經濟”正蓬勃發展_certik

開欄語 孤獨不能被消滅,但誰幫人減輕了孤獨,誰就能成就一門好生意。當你一個人的時候,你會選擇干點什么?吃個一人小火鍋壓壓驚;養一只寵物做“鏟屎官”;深夜刷直播,為主播送游艇;到迷你KTV里忘情地.

1900/1/1 0:00:00
ads