據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT。針對此次攻擊事件,成都鏈安發布安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場。
原文標題:《波場DApp超1.7億BTT被盜,官方回應:與協議本身沒任何關系》作者:文學、孫曜
監測顯示,黑客創建了名為BTTx的假幣向合約發起「invest」函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。
事件發生后,TronBank項目方于4月11日上午10:15關閉了BTT服務頁面,并表示會對損失的BTT部分全額進行賠付。
受此次攻擊事件影響,TRX和BTT雙雙下跌,截止發稿時,TRX火幣報價0.027025美元,24小時跌10.64%,BTT火幣報價0.000715美元,24小時跌6.04%。
針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件,波場回應稱,該合約安全問題出現在波場DApp上,與協議本身沒有任何關系,波場協議完全安全可靠。
Loopring L3 上線 Taiko alpha-3 zkEVM 測試網:7月4日消息,Loopring L3 上線基于 zkRollup 的以太坊二層網絡 Taiko 的 alpha-3 zkEVM 測試網,此次 L3 智能合約錢包發布將支持兌換和轉賬功能,已經在 iOS 和 Android 平臺上推出。[2023/7/4 22:17:34]
波場創始人孫宇晨在社交媒體中也表達了類似觀點,表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導,提升DApp的安全性。
針對此次假幣攻擊事件,我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
牛鳳軒提到,攻擊事件產生的根本原因是合約代碼問題:TronBank的BTT投資產品高度復制了TRX投資產品的代碼,但無法判斷用戶投資的代幣是真BTT,還是假BTT。
蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機,提醒TRON合約開發者警惕假幣攻擊安全風險。
一、DApp專家:實際被盜數量大于1.7億枚
據Dappreview創始人牛鳳軒透露,TronBank的BTT投資產品于4月10日晚10點正式開放,僅三小時內總投資額超過2億枚BTT,此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。
幣在·BitZ將于5月10日14:00上線 YOU (YouSwap):據官方公告消息,幣在·BitZ將于5月10日14:00上線 YOU,并開放USDT交易市場,充值現已開放;同時,已于05月07日 20:00開啟“YOU充值即上線,一起瓜分5000 YOU空投”的活動。
據悉,YouSwap是由美國硅谷的區塊鏈極客團隊創建的一個全生態去中心化交易所項目,它通過構造多鏈生態的部署體系實現數字資產的多鏈共享,它為項目方提供了一鍵發幣技術支持和募資上幣服務,它改良了AMM模型(自動做市商算法)提供了具有高安全保障的流動性效果。[2021/5/9 21:41:29]
至于為何1.7億枚BTT被盜,他將根本原因歸結為合約代碼問題:BTT投資產品高度復制了TRX投資產品的代碼,卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。
牛鳳軒提供了兩個投資產品的代碼對比圖,圖左為BTT投資產品代碼。通過對比,可見除第26行之后的代碼存在差異外,其余代碼幾乎一樣。
但最致命的是BTT投資產品代碼沒有增加額外的判斷函數,無法判斷用戶投資的代幣是真BTT,還是假BTT。黑客顯然已經意識到了這個漏洞。
據牛鳳軒介紹,用戶在TronBank的收益主要有兩個來源,一是投資收益,隨時可以提取,二是用戶推薦返利,返利金額為投資數額的5%。這兩個收益來源,正是黑客盜走BTT的通道。
Gate.io 即將上線 Startup 項目 LEMD:據官方公告,Gate.io將于4月21日中午12:00至4月22日上午10:00上線Startup項目Lemond(LEMD)并開啟認購通道,22小時內有效下單同等對待。用戶參與認購時需要達到VIP1和以上級別。用戶下單后到結束認購后2小時內,請務必保證現貨交易賬戶中有不低于認購金額的足夠金額,金額不足將自動排除在有效訂單之外。[2021/4/16 20:26:09]
他同時提到,在發現該攻擊后,Dappreview團隊第一時間進行了分析,發現黑客是同時用4個小號進行假幣攻擊。針對這一情況,他們隨即反饋給項目方,后者雖在社群中提醒用戶不要再繼續投資,但并沒有及時關閉頁面,仍有不明真相的群眾進入投資,而他們投入的BTT同樣會被黑客提走。因此,牛鳳軒判斷,實際被盜的BTT數量大于1.7億枚。
令牛鳳軒感到遺憾的是,項目方直到4月11日上午10:15才關閉網站頁面,并表示將對損失的BTT部分全額進行賠付。
談及該解決方案,牛鳳軒補充了一個信息:TronBank項目的TRX投資產品上線運行近一個月,總計用戶投資金額約4.4億TRX,其中項目方抽成總計6%,共2640萬TRX,約500萬人民幣。
Gate.io 明日中午12點上線 FastSwap (FAST) 交易:Gate.io將于2021年2月15日12:00(UTC+8)上線FastSwap (FAST) 交易。FastSwap是一種去中心化協議,用于在以太坊,Tron Network,BSC等上自動提供流動性+通過Polkadot上的Parachain進行跨鏈交換。[2021/2/14 19:45:17]
由此可以推斷,項目方此前的營收完全可以承擔此次BTT賠付。
二、區塊鏈安全專家:主要過失在于項目方
針對此次攻擊事件,我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
蔣旭憲表示,黑客采用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之后調用多次withdraw函數取出BTT真幣。
PeckShield認為,這是繼TransferMint漏洞之后,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全,這主要跟開發者有關,因此提醒TRON合約開發者警惕此類安全風險。
TronBank官網截圖
楊霞進一步補充道,假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶,造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯,擾亂了正常交易秩序。
Bitget策略跟單功能將于5.9日上線 報名交易員已超300:據官方消息,Bitget策略跟單功能將于5.9日正式上線,精英交易員招募計劃持續進行中,目前產品內測階段已有超過300余交易員報名。據官方社群調研數據表示,90%以上用戶對策略跟單功能表現出濃厚興趣,期待該功能上線。[2020/5/7]
在她看來,假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗,錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。
至于該如何應對假幣攻擊事件,楊霞提到了2點:
1、項目方應事先進行安全審計,提前做好預防措施,即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后,項目方應立刻響應,暫時停止業務,排查問題并修復,之后追查損失資金流向,盡量追回損失。
與此同時,成都鏈安發布了安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。
三、假幣攻擊事件盤點
事實上,假幣攻擊事件在區塊鏈世界并不少見。
PeckShield創始人蔣旭憲指出,假幣攻擊手法在EOS中已經出現,比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS,并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD,最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。最后由其他賬戶賣出以上代幣,獲得4028個真實EOS。
PeckShield對假EOS攻擊原理的解釋是,黑客創建了一種基于EOS的代幣,并將其命名為「EOS」,并向被攻擊合約賬號大量轉賬假EOS代幣,沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配獎金。
這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少,并提供了自去年至今相關案例統計。
我們梳理了EOS合約上發生的假幣攻擊事件
1、比特派EETH遭受「假幣攻擊」,暴跌99%
據IMEOS消息,2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊,并且遇到大量砸盤。
EETH12日16時上線后,在17時遭到假幣攻擊。受此影響,EETH短時間暴跌99%。
2、NEWDEX兩度被黑,損失5.9萬美元
2018年9月19日,據thenextweb消息,「假幣攻擊」發起者創造了一種全新的EOS代幣,并將該假幣名為「EOS」,發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。
經測試發現攻擊可行之后,攻擊者將假幣沖進NEWDEX交易所,并掛出大額買單,用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。
據交易所Newdex透露,攻擊者拿到了4028個EOS。9月14日,Newdex再次遭到黑客攻擊,黑客依然利用假幣攻擊在交易所換取真幣,共計獲利11803個EOS,價值5.9萬美金。
3.EOSBet一個月內被攻擊3次
2018年9月10日,EOSBet也遭到了類似的黑客攻擊,共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。
第二次發生在9月12日,EOSBet遭受黑客利用假幣套用真幣,未投注就獲得42000個EOS大獎。第三次發生在9月14日,EOSBet遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
9月15日,EOS游戲EOS.Win也遭受了黑客假幣攻擊,共計損失超過4000個EOS。
當然,這僅僅是假幣攻擊事件的一部分,黑客早已將假幣攻擊當做斂財工具,這無疑對廣大開發者提出了更高的安全要求。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
火星財經
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627173.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
少寫一行代碼的教訓:TronBank1.7億BTT僅3小時就被洗劫一空
下一篇:
以太坊后全球第二個形式化驗證平臺VaaS-ONT發布,本體與成都鏈安保障智能合約安全
Tags:EOSBTTAPPtronDEOSBTT幣最新價格FlappyMoonbirdtronlink錢包如何取消授權
根據推特用戶planB最近的民意調查,在2500名參與者中,61%的人預計BTC價格會出現大幅上漲。由于挖礦獎勵將減半,流通中發行的比特幣將減少,這將使比特幣比現在更加稀缺,因此價格應該會上漲.
1900/1/1 0:00:00BitMEX研究團隊此前曾對閃電網絡做過理論方面的深入研究。現在,隨著閃電網絡從抽象的概念轉入試驗,他們對這一熱點進行了再次審視.
1900/1/1 0:00:00針對起訴紅杉資本損害名譽一事,幣安創始人趙長鵬今天連發11條推文回應,重大內容如下:”1.仲裁庭駁回了紅杉的所有訴訟請求;2.我贏了,案件非常具有破壞性.
1900/1/1 0:00:00近日,數字貨幣交易所Bitfinex及其旗下交易平臺Ethfinex宣布推出新的IEO交易平臺Tokinex.
1900/1/1 0:00:00今日美股重挫,在科技股拖累下納斯達克綜合指數下跌將近1.6%,美油最低下跌6%,10年期美債收益率最低下行8.5個基點.
1900/1/1 0:00:00親愛的用戶:?? IDAX將上線TXT。開通TXT/BTC交易,立即前往。充值開放時間:2019年6月1日14:00(UTC8)交易開放時間:2019年6月3日14:00(UTC8)NFT項目D.
1900/1/1 0:00:00