上線 3 小時即被盜走 1.7 億 BTT：TronBank 未審計代碼致假幣攻擊_BANK

據DappReview監測，波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。針對此次攻擊事件，成都鏈安發布安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

原文標題：《波場DApp超1.7億BTT被盜，官方回應：與協議本身沒任何關系》作者：文學、孫曜

監測顯示，黑客創建了名為BTTx的假幣向合約發起「invest」函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。

事件發生后，TronBank項目方于4月11日上午10:15關閉了BTT服務頁面，并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響，TRX和BTT雙雙下跌，截止發稿時，TRX火幣報價0.027025美元，24小時跌10.64%，BTT火幣報價0.000715美元，24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件，波場回應稱，該合約安全問題出現在波場DApp上，與協議本身沒有任何關系，波場協議完全安全可靠。

Solana 鏈上項目 Squads V3 已上線 app:金色財經消息，Squads 發推特稱其 Squads V3 已上線 app。Squads V3 致力于為 Solana 生態系統提供多重簽名解決方案。

據悉，Squads 發在今年2月完成500萬美元戰略融資，由 Multicoin Capital 領投。[2022/8/17 12:30:43]

波場創始人孫宇晨在社交媒體中也表達了類似觀點，表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導，提升DApp的安全性。

針對此次假幣攻擊事件，我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到，攻擊事件產生的根本原因是合約代碼問題：TronBank的BTT投資產品高度復制了TRX投資產品的代碼，但無法判斷用戶投資的代幣是真BTT，還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機，提醒TRON合約開發者警惕假幣攻擊安全風險。

一、DApp專家：實際被盜數量大于1.7億枚

據Dappreview創始人牛鳳軒透露，TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

IOST鏈上NFT交易平臺即將上線 v1.2.0 版本:據官方消息，IOST鏈上NFT交易平臺“文藝復興”即將推出 v1.2.0 版本。本次版本升級上線了移動端，Bitkeep錢包與TokenPocket錢包的用戶現可通過在錢包內的Dapp瀏覽器輸入平臺網址來正式訪問移動端。除此之外，本次版本升級新增了“分享”功能并優化了“我的NFT”模塊。通過使用“分享”功能，用戶可將自己喜愛的NFT作品分享到社交網絡。“我的NFT”模塊優化了用戶正在出售的作品、參拍的作品、已成交的作品的展示方式。[2021/8/19 22:25:03]

至于為何1.7億枚BTT被盜，他將根本原因歸結為合約代碼問題：BTT投資產品高度復制了TRX投資產品的代碼，卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

牛鳳軒提供了兩個投資產品的代碼對比圖，圖左為BTT投資產品代碼。通過對比，可見除第26行之后的代碼存在差異外，其余代碼幾乎一樣。

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數，無法判斷用戶投資的代幣是真BTT，還是假BTT。黑客顯然已經意識到了這個漏洞。

據牛鳳軒介紹，用戶在TronBank的收益主要有兩個來源，一是投資收益，隨時可以提取，二是用戶推薦返利，返利金額為投資數額的5%。這兩個收益來源，正是黑客盜走BTT的通道。

LBank藍貝殼于5月13日21:00上線 AQUAGOAT，開放USDT交易:據官方公告，5月13日21:00，LBank藍貝殼（LBank.me）上線AQUAGOAT(AquaGoat)，開放USDT交易，5月13日15:00開放充值，5月15日15:00開放提現。

資料顯示，AquaGoat的發行總量為100,000,000,000,000,000,000枚，是下一代生態DeFi代幣，其目的是，保護我們的海洋。每筆交易的一部分將發送到AquaGoat“海洋藍基金”，該基金用于資助海洋清潔和海洋保護計劃。[2021/5/13 21:58:00]

他同時提到，在發現該攻擊后，Dappreview團隊第一時間進行了分析，發現黑客是同時用4個小號進行假幣攻擊。針對這一情況，他們隨即反饋給項目方，后者雖在社群中提醒用戶不要再繼續投資，但并沒有及時關閉頁面，仍有不明真相的群眾進入投資，而他們投入的BTT同樣會被黑客提走。因此，牛鳳軒判斷，實際被盜的BTT數量大于1.7億枚。

令牛鳳軒感到遺憾的是，項目方直到4月11日上午10:15才關閉網站頁面，并表示將對損失的BTT部分全額進行賠付。

談及該解決方案，牛鳳軒補充了一個信息：TronBank項目的TRX投資產品上線運行近一個月，總計用戶投資金額約4.4億TRX，其中項目方抽成總計6%，共2640萬TRX，約500萬人民幣。

AOFEX于4月4日上線 TRIBE:據官方消息，AOFEX交易所于4月4 日15:00（GMT+8）正式開放 TRIBE/AQ、 TRIBE/USDT交易對，開盤價為0.5USDT，現報價2.41USDT，累計漲幅為410.16%。

Fei Protocol支持創建基于以太坊的去中心化、可擴展且公平的穩定幣。TRIBE是該協議的治理代幣。

AOFEX是全球領先數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2021/4/4 19:45:07]

由此可以推斷，項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家：主要過失在于項目方

針對此次攻擊事件，我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

蔣旭憲表示，黑客采用的是假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。

PeckShield認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全，這主要跟開發者有關，因此提醒TRON合約開發者警惕此類安全風險。

比特幣期貨即將上線 期貨監管也隨之而來:據了解，CFTC主席Chris Giancarlo在一份聲明中表示，“比特幣是一種虛擬貨幣，與過去委員會所處理的不同。我們預計，通過信息共享協議，期貨交易所將監控比特幣期貨相關平臺上的交易活動。“[2017/12/6]

TronBank官網截圖

楊霞進一步補充道，假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶，造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯，擾亂了正常交易秩序。

在她看來，假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗，錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件，楊霞提到了2點：

1、項目方應事先進行安全審計，提前做好預防措施，即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后，項目方應立刻響應，暫時停止業務，排查問題并修復，之后追查損失資金流向，盡量追回損失。

與此同時，成都鏈安發布了安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場，波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊，攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試，尋找安全防護較為薄弱的合約，此階段后，攻擊者可能更進一步深度挖掘波場本身可能被利用的機制，進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上，假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出，假幣攻擊手法在EOS中已經出現，比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS，并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD，最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。最后由其他賬戶賣出以上代幣，獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是，黑客創建了一種基于EOS的代幣，并將其命名為「EOS」，并向被攻擊合約賬號大量轉賬假EOS代幣，沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的，進而調用了合約中的transfer函數，按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少，并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」，暴跌99％

據IMEOS消息，2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊，并且遇到大量砸盤。

EETH12日16時上線后，在17時遭到假幣攻擊。受此影響，EETH短時間暴跌99%。

2、NEWDEX兩度被黑，損失5.9萬美元

2018年9月19日，據thenextweb消息，「假幣攻擊」發起者創造了一種全新的EOS代幣，并將該假幣名為「EOS」，發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后，攻擊者將假幣沖進NEWDEX交易所，并掛出大額買單，用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露，攻擊者拿到了4028個EOS。9月14日，Newdex再次遭到黑客攻擊，黑客依然利用假幣攻擊在交易所換取真幣，共計獲利11803個EOS，價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日，EOSBet也遭到了類似的黑客攻擊，共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日，EOSBet遭受黑客利用假幣套用真幣，未投注就獲得42000個EOS大獎。第三次發生在9月14日，EOSBet遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月15日，EOS游戲EOS.Win也遭受了黑客假幣攻擊，共計損失超過4000個EOS。

當然，這僅僅是假幣攻擊事件的一部分，黑客早已將假幣攻擊當做斂財工具，這無疑對廣大開發者提出了更高的安全要求。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

火星財經

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627173.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

少寫一行代碼的教訓：TronBank1.7億BTT僅3小時就被洗劫一空

下一篇：

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布，本體與成都鏈安保障智能合約安全

Tags：EOSBTTAPPBANKEOSevenbtt幣前景和未來Wrapped TezosLbank公司怎么樣

FIL