火星链 火星链
Ctrl+D收藏火星链

EOS:上线 3 小时即被盗走 1.7 亿 BTT:TronBank 未审计代码致假币攻击

作者:

时间:1900/1/1 0:00:00

据DappReview监测,波场DAppTronBank于4月11日凌晨1点遭到假币攻击,1小时内被盗走约1.7亿枚BTT。针对此次攻击事件,成都链安发布安全预警:近期针对波场项目方的攻击测试频率开始上升并已造成实际损失,黑客团队未来可能将攻击重点转向波场。

原文标题:《波场DApp超1.7亿BTT被盗,官方回应:与协议本身没任何关系》作者:文学、孙曜

监测显示,黑客创建了名为BTTx的假币向合约发起「invest」函数,而合约并没有判定发送者的代币id是否与BTT真币的id1002000一致。因此黑客拿到真币BTT的投资回报和推荐奖励,以此方式迅速掏空资金池。

事件发生后,TronBank项目方于4月11日上午10:15关闭了BTT服务页面,并表示会对损失的BTT部分全额进行赔付。

受此次攻击事件影响,TRX和BTT双双下跌,截止发稿时,TRX火币报价0.027025美元,24小时跌10.64%,BTT火币报价0.000715美元,24小时跌6.04%。

针对DAppTronBank因「假币攻击」而损失1.7亿BTT的事件,波场回应称,该合约安全问题出现在波场DApp上,与协议本身没有任何关系,波场协议完全安全可靠。

以太坊隐私 Layer2 解决方案 Aztec 因故障延期上线 Aztec Connect:6月10日消息,以太坊隐私 Layer2 解决方案 Aztec 发推表示,原计划使用 Open Ethereum 发送大量 rollup,因为它具有更高的交易大小限制,但是在主网以太坊上发送大笔交易并不成功。随后团队转向使用 Flashbots,一种支持更大交易规模的 Geth 分叉,鉴于通过 Flashbots 发送交易的变化出现了一些初期问题,即 PR 中存在格式错误,导致 Flashbots 交易失败。

目前,团队已经确定了一个简单的修复方法,决定暂停上线并正在努力设定新的时间表。[2022/6/10 23:05:59]

波场创始人孙宇晨在社交媒体中也表达了类似观点,表示未来波场会联合安全企业与合作伙伴对开发者进行合约安全辅导,提升DApp的安全性。

针对此次假币攻击事件,我们采访了DappReview创始人牛凤轩、PeckShield创始人蒋旭宪和成都链安创始人杨霞。

牛凤轩提到,攻击事件产生的根本原因是合约代码问题:TronBank的BTT投资产品高度复制了TRX投资产品的代码,但无法判断用户投资的代币是真BTT,还是假BTT。

电子协议签署平台 EthSign 上线 Signatures Beta 版本:6月2日消息,电子协议签署平台 EthSign 宣布正式上线 Signatures Beta 版本,新版本提供与 Web2 电子签名平台相同的功能、用户体验和法律有效性,同时利用区块链的力量来提高透明度和安全性。此次 Beta 版的新智能合约将 gas 消耗减少了9 倍,并增加了只读查看者权限、共同签署人之间的签署顺序、PDF 注释和文本字段集、无密码的地址锁定加密、通过 EPNS 和 Blockscan Chat 推送通知等新功能。[2022/6/2 3:57:40]

蒋旭宪和杨霞同样认为项目方的疏忽给黑客以可乘之机,提醒TRON合约开发者警惕假币攻击安全风险。

一、DApp专家:实际被盗数量大于1.7亿枚

据Dappreview创始人牛凤轩透露,TronBank的BTT投资产品于4月10日晚10点正式开放,仅三小时内总投资额超过2亿枚BTT,此前该项目的TRX投资产品最高资金池余额超过2.6亿枚TRX。

至于为何1.7亿枚BTT被盗,他将根本原因归结为合约代码问题:BTT投资产品高度复制了TRX投资产品的代码,却没有判断发送者的代币id是否与BTT真币的id1002000一致。

STND上线 KuCoin (库币) ,开盘上涨2699%:据 KuCoin (库币) 交易所消息,KuCoin 已首发上线 Standard Protocol (STND) 项目并支持STND/USDT和STND/ETH交易对。STND开盘价为0.25USDT,当前报价6.99USDT,上线涨幅2699%。 同时,库币已开启 STND上线福利,参与活动即可瓜分30,000 USDT豪华奖池。

以“全民的交易所”著称, KuCoin (库币) 旨在发掘全球优质区块链项目,为来自207个国家的800万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/4/30 21:11:54]

牛凤轩提供了两个投资产品的代码对比图,图左为BTT投资产品代码。通过对比,可见除第26行之后的代码存在差异外,其余代码几乎一样。

但最致命的是BTT投资产品代码没有增加额外的判断函数,无法判断用户投资的代币是真BTT,还是假BTT。黑客显然已经意识到了这个漏洞。

据牛凤轩介绍,用户在TronBank的收益主要有两个来源,一是投资收益,随时可以提取,二是用户推荐返利,返利金额为投资数额的5%。这两个收益来源,正是黑客盗走BTT的通道。

IOST链上治理机制1.0正式上线 将于7月1日运行:据官方消息,IOST于今日正式向社区公布其链上治理机制1.0,IOST节点合伙人可以自主发起有关IOST主网治理的提案,并通过所有节点合伙人的公投来决定该提案是否通过,非节点合伙人也可通过给节点投票来间接参与IOST主网治理。该治理机制涵盖IOST核心治理结构以及社区参与流程,将于2020年7月1日正式运行,这标志着IOST公链正式迈入去中心化治理时代。详情点击原文链接。[2020/6/11]

他同时提到,在发现该攻击后,Dappreview团队第一时间进行了分析,发现黑客是同时用4个小号进行假币攻击。针对这一情况,他们随即反馈给项目方,后者虽在社群中提醒用户不要再继续投资,但并没有及时关闭页面,仍有不明真相的群众进入投资,而他们投入的BTT同样会被黑客提走。因此,牛凤轩判断,实际被盗的BTT数量大于1.7亿枚。

令牛凤轩感到遗憾的是,项目方直到4月11日上午10:15才关闭网站页面,并表示将对损失的BTT部分全额进行赔付。

谈及该解决方案,牛凤轩补充了一个信息:TronBank项目的TRX投资产品上线运行近一个月,总计用户投资金额约4.4亿TRX,其中项目方抽成总计6%,共2640万TRX,约500万人民币。

HBTC霍比特即将上线 NEST/BTC、NEST/ETH交易对:据HBTC霍比特(原BHEX交易所)官方消息,为满足用户更多交易需求,HBTC霍比特交易所将于新加坡时间5月21日18:00上线NEST/BTC,NEST/ETH交易对。

HBTC霍比特由火币、OKEx等56家资本共同投资,是行业首家推出100%准备金制度的交易所,以保证用户资产安全、可信交易、平台运营透明。

NESTProtocol是基于以太坊网络开发的去中心化价格预言机网络。NEST通过矿工双向报价的方式将链下市场的价格同步产生于链上,并结合NEST报价挖矿机制,将链下价格同步在链上生成出来,形成NEST价格预言机。[2020/5/21]

由此可以推断,项目方此前的营收完全可以承担此次BTT赔付。

二、区块链安全专家:主要过失在于项目方

针对此次攻击事件,我们联系了PeckShield创始人蒋旭宪和成都链安创始人杨霞。

蒋旭宪表示,黑客采用的是假币攻击方式,通过调用BTTBank智能合约的invest函数,之后调用多次withdraw函数取出BTT真币。

PeckShield认为,这是继TransferMint漏洞之后,一种新型的具有广泛性危害的漏洞,会威胁到多个类似DApp合约的安全,这主要跟开发者有关,因此提醒TRON合约开发者警惕此类安全风险。

TronBank官网截图

杨霞进一步补充道,假币攻击指的是攻击者通过发行与被攻击代币同名代币等方式项目方或用户,造成的危害主要是攻击者在没有付出任何代价的前提下执行了业务逻辑,扰乱了正常交易秩序。

在她看来,假币攻击的产生因素主要是项目方没有做完整的代币信息校验,错误地将攻击者的无价值假币识别为真实的有价代币。

至于该如何应对假币攻击事件,杨霞提到了2点:

1、项目方应事先进行安全审计,提前做好预防措施,即在合约中对交易的代币信息做完整的校验而不是单纯通过名称等不可靠信息判断。2、假币攻击事件发生之后,项目方应立刻响应,暂时停止业务,排查问题并修复,之后追查损失资金流向,尽量追回损失。

与此同时,成都链安发布了安全预警:近期针对波场项目方的攻击测试频率开始上升并已造成实际损失,黑客团队未来可能将攻击重点转向波场,波场公链的DApp市场高度繁荣但一直未曾遭到过EOS公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。

三、假币攻击事件盘点

事实上,假币攻击事件在区块链世界并不少见。

PeckShield创始人蒋旭宪指出,假币攻击手法在EOS中已经出现,比如2018年9月14日发生在Newdex的假EOS刷币事件。攻击者预先在EOS账户中发行假EOS,并由实施攻击的账户使用假EOS挂单委托买入IPOS和ADD,最终分多笔共11800假EOS挂市价单购买BLACK、IQ、ADD,且全部成交。最后由其他账户卖出以上代币,获得4028个真实EOS。

PeckShield对假EOS攻击原理的解释是,黑客创建了一种基于EOS的代币,并将其命名为「EOS」,并向被攻击合约账号大量转账假EOS代币,没有检测EOS的发行方的合约会将假EOS转账视为真的,进而调用了合约中的transfer函数,按照开奖流程分配奖金。

这种「假EOS」攻击方式的关键是合约函数中没有检测发行代币的合约名。PeckShield表示「假EOS」漏洞在10月份较为普遍,不过随着多数开发者合约开发趋于规范,类似攻击事件已经很少,并提供了自去年至今相关案例统计。

我们梳理了EOS合约上发生的假币攻击事件

1、比特派EETH遭受「假币攻击」,暴跌99%

据IMEOS消息,2018年12月12日下午4点在去中心化交易所NEWDEX上线的比特派EETH遭遇假币攻击,并且遇到大量砸盘。

EETH12日16时上线后,在17时遭到假币攻击。受此影响,EETH短时间暴跌99%。

2、NEWDEX两度被黑,损失5.9万美元

2018年9月19日,据thenextweb消息,「假币攻击」发起者创造了一种全新的EOS代币,并将该假币名为「EOS」,发起攻击者的EOS账户oo1122334455总共发行了10亿个EOS假币。

经测试发现攻击可行之后,攻击者将假币冲进NEWDEX交易所,并挂出大额买单,用11800个EOS假币购买BLACK、IQ和ADD三种代币。

据交易所Newdex透露,攻击者拿到了4028个EOS。9月14日,Newdex再次遭到黑客攻击,黑客依然利用假币攻击在交易所换取真币,共计获利11803个EOS,价值5.9万美金。

3.EOSBet一个月内被攻击3次

2018年9月10日,EOSBet也遭到了类似的黑客攻击,共计损失4000个EOS。而该游戏在9月共遭到了三次黑客攻击。

第二次发生在9月12日,EOSBet遭受黑客利用假币套用真币,未投注就获得42000个EOS大奖。第三次发生在9月14日,EOSBet遭黑客「假通知」攻击,损失145321个EOS,目前损失已被追回。

9月15日,EOS游戏EOS.Win也遭受了黑客假币攻击,共计损失超过4000个EOS。

当然,这仅仅是假币攻击事件的一部分,黑客早已将假币攻击当做敛财工具,这无疑对广大开发者提出了更高的安全要求。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

火星财经

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627173.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

少写一行代码的教训:TronBank1.7亿BTT仅3小时就被洗劫一空

下一篇:

以太坊后全球第二个形式化验证平台VaaS-ONT发布,本体与成都链安保障智能合约安全

标签:EOSBTTAPPDAPeos币为什么涨不起来BTT价格聚币网手机app下载Bonkey dAPP

POL币最新价格热门资讯
BES:比特币回落后小幅反弹,近期可能继续尝试突破8000美元

据比推数据,市值排名第一的加密货币比特币今天日间持续回落至7600美元以下,之后在晚间迎来小幅反弹至7800美元附近。对于近期比特币的走势,Forbes发文分享了几位业内人士的观点.

1900/1/1 0:00:00
WDEX:「去中心化交易所」混入 EOS 假币,用户损失数万美元

由于出现了一个严重的安全漏洞,10亿个EOS假币流入了去中心化的代币交易平台。最终,攻击者直接从用户手中窃取了价值5.8万美元的加密货币.

1900/1/1 0:00:00
加密货币:调查了 130 种加密货币后,FBI 对数字代币依然持中立态度

美国联邦调查局透露其正在调查的部分案件涉及130种加密货币。该机构表示,与由加密货币支付而引发的非法活动正在不断增加。这些案件涵盖了「人口贩卖、交易、绑架以及勒索软件攻击」.

1900/1/1 0:00:00
QUA:每周定投1万美元比特币的Twitter CEO正将更多加密货币融入其支付业务Square

社交网络推特的首席执行官杰克·多尔西(JackDorsey)正在采取进一步措施,将比特币和其它加密货币融入他的支付业务Square。Square是一家很流行的美国移动支付公司.

1900/1/1 0:00:00
DEF:DeFi前景展望:未来“代码世界”的主宰?

导读2018年8月,DharmaLabs联合创始人和首席运营官BrendanForster一篇《AnnouncingDe.Fi.

1900/1/1 0:00:00
ETH:“邀请排名赛 坐享50%超级分红”活动奖励公示

亲爱的用户:“邀请排名赛坐享50%超级分红”活动已结束,所有奖励已发放至个人账户,请所有符合奖励条件的用户在个人账户查看分发结果.

1900/1/1 0:00:00