波场DApptronbank于4月11日凌晨1点遭受假币攻击。11日上午Beosin成都链安技术团队作出初步分析,判断该次假币攻击事件主要原因在于合约没有严格验证代币的唯一标识符代币ID,错误的将攻击者自己发行的无价值代币识别为价值85万元的BTT代币,从而造成了损失。同时及时发出预警,预判黑客团队未来可能将攻击重点转向波场。
原文标题:《BTT假币攻击事件细节披露及修复方案》
现针对此次事件,成都链安技术团队进一步作出深度分析。
首先,我们先看此次BTT假币攻击事件中的漏洞源码,如下图:
成都链安技术团队分析发现,该假币漏洞是由于invest函数只判断了msg.tokenvalue,而没有判断msg.tokenid是否为真实BTT代币的ID:1002000所导致。
加密基金DBA Crypto将目标募资额从5亿美元降至1.5亿美元:6月17日消息,根据6月份提交给美国SEC的文件以及两名知情人士的消息,加密货币基金DBA Crypto仍在努力启动。
这家以机构为导向的投资初创公司此前试图募集至少5亿美元的外部资金,其目标是在2022年底或2023年初推出。其中三名核心员工已跳槽到其他加密企业。 当时的消息人士表示,DBA正在与潜在的锚定投资者进行高级对话,但其计划没有成功。
最新SEC文件显示,DBA Crypto将其基金的目标募资总额从5亿美元削减至1.5亿美元,其旗舰DBA Crypto Fund 1在岸和离岸版本的目标募资额均为7500万美元。[2023/6/17 21:43:57]
TRC10标准是波场本身支持的技术代币标准,标准规定了两个重要参数:msg.tokenvalue和msg.tokenid。其中msg.tokenvalue表示当前msg调用的代币数量,而msg.tokenid表示当前调用者使用的代币种类标记ID。每种TRC10标准的代币都有一个独一无二的标记ID作为代币种类证明。
Conflux:已暂停Multichain联合铸币权:5月25日消息,Conflux 官方宣布,作为一项即时预防措施,已暂停 Multichain 的联合铸币权,以确保用户资产安全,目前没有检测到资金损失。[2023/5/25 10:39:12]
BTTBank合约在收取代币时没有对收到代币的tokenid做任何判断,合约中仅仅判断了msg发送代币的数量msg.tokenvalue。当合约收到调用者发送的代币数量msg.tokenvalue时,合约错误的认为该代币数量是BTT的数量。但实际上调用者使用的是假币tokenid为1002278的代币数量。BTTBank将假币视同于真币记录到投资者账号。
而攻击者账号TRC10代币中存在BTT和BTTx两种代币,可见两种代币的ID差异,BTT代币ID:1002000,BTTx代币ID:1002278。
GALA突破0.06美元,24小时涨幅逾26%:金色财经报道,行情显示,GALA突破0.06美元,现报0.0615美元,24小时涨幅为26.09%。行情波动较大,请做好风险控制。[2023/1/28 11:33:48]
攻击者于4月11日凌晨创建发行990,000,000,000,000,000个名为BTTx的假币
接着在假币创建完成后,攻击者将四千万创建的假币BTTx发送给四个攻击小号TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY,TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4,TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh,TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K
圣窖酒业集团与天喻信息拟在香港组建数字人民币酒类数字资产交易平台:12月25日消息,圣窖酒业集团今日官微消息,日前,贵州圣窖酒业集团与武汉天喻信息产业股份有限公司签订战略合作协议,就数字科技和金融服务及数字人民币供应链等方面进行深入合作。基于上述目的,双方将共同参与在中国香港组建酒类数字资产交易所和酱酒数字生态产业基地,并开展相关业务的经营活动。天喻信息为贵州圣窖酒业集团搭建基于非同质化通证(NFT)及隐私计算技术相结合的数字人民币酒类数字资产交易平台,并将贵州圣窖酒业集团的“三大平台”(数字人民币与业务区块链融合的金融服务平台、数字人民币智能合约公共服务平台、智能财税云平台)与圣窖“亿富安”通证电商平台对接,升级改造为数字人民币供应链电子商务综合服务平台,并共同为其上下游客户提供智能财税服务、供应链服务及金融服务。[2022/12/25 22:06:23]
当攻击小号收到假币后,攻击者又调用BTTBank合约有缺陷的invest函数。
三星在Decentraland中推出“House of Sam”元宇宙体验:金色财经报道,三星拉美地区的公司将在Decentraland中建立一个名为“House of Sam”的空间,它将允许用户与该品牌的不同产品进行虚拟接触,并通过玩小游戏来为他们的化身赢得三星品牌的奖励。
三星拉美地区的营销总监Arthur Wong说:“我们的客户将能够相互交流,并参与我们在Decentraland免费提供的独家演出、课程和活动,这是元宇宙中最民主和开放的空间之一。我们的目标是越来越接近Z世代,即我们的年轻消费者。”(Bitcoin.com)[2022/10/4 18:39:18]
接下来在触发invest函数后,BTTBank项目方将大量BTT转入了预先设置的投资账号TPk,TT4,TGD,这笔资金实际上未被黑客获得,但项目方在没有收到BTT的情况下进行了真实的投资。
下图为源码中对三个投资地址的具体设置代码:
BTTBank投资的三个投资账号中都收到了大量BTT代币,如下图所示。
黑客触发invest函数后通过withdraw函数取到了BTTBank奖励池的真正的BTT代币,最终四个小号将赃款集中转向黑客主账号TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW
攻击者账户中的BTT赃款和攻击使用的假币BTTx如下:
此外,成都链安技术团队对在Github上开源的其他项目方代码进行检查,发现还有其他项目方存在此安全问题:如下为有问题的合约地址:TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx
TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5
TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy
TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV
TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i
因此Beosin成都链安呼吁广大项目方提高警惕予以重视,检查自己的合约是否存在上述安全漏洞,并及时进行更新。
发生原因:
据Beosin成都链安技术团队分析,上述问题的发生存在两个方面的原因:1)开发者对波场代币的使用机制研究不足,可能套用了以太坊的代币使用方法;2)攻击者在迁移其它公链上存在的攻击方式,如EOS已经存在的假币攻击方式。
修复意见:对此,Beosin成都链安技术团队建议:项目方在收取代币时应同时判断msg.tokenvalue和msg.tokenid是否符合预期。并给出该漏洞代码修复方式,如下:
Invest函数增加代码:require(msg.tokenid==1002000);require(msg.tokenvalue>=minimum);minimum是最小投资额
同时,Beosin成都链安提示:黑客团队未来可能将攻击重点转向波场,波场公链的DApp市场高度繁荣但一直未曾遭到过eos公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。
并且Beosin成都链安也建议各大项目方加强合约的安全防护级别和安全运维强度,尽量防范未然,避免不必要的损失,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,共同维护公链安全生态。
本文来源于非小号媒体平台:
Beosin成都链安
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627175.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
PeckShield深入代码层面分析,黑客究竟如何盗走1.7亿BTT?
下一篇:
上线3小时即被盗走1.7亿BTT:TronBank未审计代码致假币攻击
标签:XXXBTTTOKEMSGXXX币BTTY币3X Long Huobi Token Tokenmsg币什么时候交易
概况币客指数跟踪对应数字货币的全球价格,频率为秒。币客首发BTC指数BKBTC-IDX,BKBTC-IDX由相同权重的十二个交易所组成,分别是bitstamp、GDAX、binance、OKex.
1900/1/1 0:00:00导读继上篇对当前数字资产领域的安全形势进行了深度分析后,本文将介绍区块链数字资产领域的安全措施与相关的解决方案。区块链技术是数字资产的新兴载体.
1900/1/1 0:00:00他们的故事全球几乎无人知晓,但他们的名字却是世界所有银行共同铭记的噩梦。「Carbanak」,这个名称无法直译成中文的黑客组织,在5年时间内,横扫全球银行,攫取至少10亿欧元.
1900/1/1 0:00:00前言:从Web2.0的发展历史来看,Web3.0能给我们带来哪些全新的商业模式?如果说Web2.0代表的是物理世界的虚拟数字化映射,Web3.0则是首次将经济系统嵌入在底层代码中.
1900/1/1 0:00:00针对起诉红杉资本损害名誉一事,币安创始人赵长鹏今天连发11条推文回应,重大内容如下:”1.仲裁庭驳回了红杉的所有诉讼请求;2.我赢了,案件非常具有破坏性.
1900/1/1 0:00:00日前,本体宣布入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」,发现漏洞者可获取高额奖励。区块链生态,安全已经是必选项,值得一提的是,早在今年5月,慢雾就正式加入本体的「共建者计划」,为本体提供安.
1900/1/1 0:00:00