上線 3 小時即被盜走 1.7 億 BTT：TronBank 未審計代碼致假幣攻擊_APP

據DappReview監測，波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。針對此次攻擊事件，成都鏈安發布安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

原文標題：《波場DApp超1.7億BTT被盜，官方回應：與協議本身沒任何關系》作者：文學、孫曜

監測顯示，黑客創建了名為BTTx的假幣向合約發起「invest」函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。

事件發生后，TronBank項目方于4月11日上午10:15關閉了BTT服務頁面，并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響，TRX和BTT雙雙下跌，截止發稿時，TRX火幣報價0.027025美元，24小時跌10.64%，BTT火幣報價0.000715美元，24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件，波場回應稱，該合約安全問題出現在波場DApp上，與協議本身沒有任何關系，波場協議完全安全可靠。

Gate.io 即將上線 Startup 項目 ALPHR:據官方公告，Gate.io將于4月24日中午12:00至4月26日上午10:00上線Startup項目Alphr (ALPHR)，并開啟認購通道，6小時內有效下單同等對待。用戶參與認購時需要達到VIP1和以上級別。用戶下單后到結束認購后2小時內，請務必保證現貨交易賬戶中有不低于認購金額的足夠金額，金額不足將自動排除在有效訂單之外。認購結果將于2021年4月26日20:00公布。[2021/4/23 20:51:31]

波場創始人孫宇晨在社交媒體中也表達了類似觀點，表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導，提升DApp的安全性。

針對此次假幣攻擊事件，我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到，攻擊事件產生的根本原因是合約代碼問題：TronBank的BTT投資產品高度復制了TRX投資產品的代碼，但無法判斷用戶投資的代幣是真BTT，還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機，提醒TRON合約開發者警惕假幣攻擊安全風險。

一、DApp專家：實際被盜數量大于1.7億枚

WBFETH即將上線 開啟ETH2.0驗證節點挖礦:據官方消息，WBF交易所將于近期上線WBFETH，賦能全網用戶開啟ETH2.0驗證節點挖礦。

據以太坊官方發布的Eth2.0 規范 v1.0最新文檔，Eth2.0 主網存款合約已開啟運行并受到市場高度關注，根據GitHub文件顯示，ETH 2.0創世時間將提前至今年12月1日。

ETH2.0即將轉為POS，在ETH2.0的0階段中，用戶質押ETH成為信標鏈驗證者，并且可以獲得質押收益，用戶質押的最低門檻是32個ETH，ETH轉入信標鏈后1：1兌換成WBFETH，即32個WBFETH，成為一個驗證者，持有WBFETH將獲得獎勵。(具體兌換規則后續將以公告形式發出)[2020/11/9 12:04:42]

據Dappreview創始人牛鳳軒透露，TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

至于為何1.7億枚BTT被盜，他將根本原因歸結為合約代碼問題：BTT投資產品高度復制了TRX投資產品的代碼，卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

牛鳳軒提供了兩個投資產品的代碼對比圖，圖左為BTT投資產品代碼。通過對比，可見除第26行之后的代碼存在差異外，其余代碼幾乎一樣。

LBank 將于9月11日上線 BGPT/USDT 交易對:據官方消息，LBank將于9月11日20:00上線BGPT/USDT交易對，并于19:00開啟充值。

BGPT(Bridge Protocol)是基于以太坊的去中心化預言機，它降低了預言機參與的門檻，通過合約和機制的優化和創新，使價格數據更加靈敏，數據結構更加多樣化，更符合Defi產品設計。將會成為復雜Defi產品的基石設計。

BGPT是Bridge Protocol的價值錨定代幣，無預挖，無私募，全部由報價挖礦產出，持有BGPT不僅有二級市場收益的可能，還將獲得分配報價挖礦的手續費、80%價格合約調用費用、40%的聚合預言機報價挖礦手續費。[2020/9/10]

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數，無法判斷用戶投資的代幣是真BTT，還是假BTT。黑客顯然已經意識到了這個漏洞。

據牛鳳軒介紹，用戶在TronBank的收益主要有兩個來源，一是投資收益，隨時可以提取，二是用戶推薦返利，返利金額為投資數額的5%。這兩個收益來源，正是黑客盜走BTT的通道。

他同時提到，在發現該攻擊后，Dappreview團隊第一時間進行了分析，發現黑客是同時用4個小號進行假幣攻擊。針對這一情況，他們隨即反饋給項目方，后者雖在社群中提醒用戶不要再繼續投資，但并沒有及時關閉頁面，仍有不明真相的群眾進入投資，而他們投入的BTT同樣會被黑客提走。因此，牛鳳軒判斷，實際被盜的BTT數量大于1.7億枚。

動態 | 深圳出租車智慧出行平臺上線 可開具區塊鏈電子發票:據南方Plus報道，深圳市公共交通管理局、國家稅務總局深圳市稅務局和微信支付合作打造的首個出租車智慧出行平臺“出租車助手”小程序在深圳上線。從4月29日起，乘客可以直接在線申請開具電子發票。同時還可以通過小程序尋找遺失物品等。據悉，5月深圳全市所有出租車都將完成覆蓋。 此外，深圳市出租車開具的全部為區塊鏈電子發票，發票信息與發票的使用、報銷狀態將同步“上鏈”。既提升了乘客獲取發票的效率，更幫助出租車公司節省了打印紙質發票、維護稅控硬件設備等高額成本。[2019/4/30]

令牛鳳軒感到遺憾的是，項目方直到4月11日上午10:15才關閉網站頁面，并表示將對損失的BTT部分全額進行賠付。

談及該解決方案，牛鳳軒補充了一個信息：TronBank項目的TRX投資產品上線運行近一個月，總計用戶投資金額約4.4億TRX，其中項目方抽成總計6%，共2640萬TRX，約500萬人民幣。

由此可以推斷，項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家：主要過失在于項目方

針對此次攻擊事件，我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

比特幣期貨上線 對黃金走勢帶來強大壓力:據了解，周一亞盤時段，現貨黃金窄幅波動，維持四個月低位，當前在1248美元附近。CBOE比特幣期貨今日上線，比特幣近月期貨合約強勢上漲，兩次觸發熔斷，在一定程度上給黃金走勢帶來壓力。[2017/12/11]

蔣旭憲表示，黑客采用的是假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。

PeckShield認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全，這主要跟開發者有關，因此提醒TRON合約開發者警惕此類安全風險。

TronBank官網截圖

楊霞進一步補充道，假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶，造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯，擾亂了正常交易秩序。

在她看來，假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗，錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件，楊霞提到了2點：

1、項目方應事先進行安全審計，提前做好預防措施，即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后，項目方應立刻響應，暫時停止業務，排查問題并修復，之后追查損失資金流向，盡量追回損失。

與此同時，成都鏈安發布了安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場，波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊，攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試，尋找安全防護較為薄弱的合約，此階段后，攻擊者可能更進一步深度挖掘波場本身可能被利用的機制，進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上，假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出，假幣攻擊手法在EOS中已經出現，比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS，并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD，最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。最后由其他賬戶賣出以上代幣，獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是，黑客創建了一種基于EOS的代幣，并將其命名為「EOS」，并向被攻擊合約賬號大量轉賬假EOS代幣，沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的，進而調用了合約中的transfer函數，按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少，并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」，暴跌99％

據IMEOS消息，2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊，并且遇到大量砸盤。

EETH12日16時上線后，在17時遭到假幣攻擊。受此影響，EETH短時間暴跌99%。

2、NEWDEX兩度被黑，損失5.9萬美元

2018年9月19日，據thenextweb消息，「假幣攻擊」發起者創造了一種全新的EOS代幣，并將該假幣名為「EOS」，發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后，攻擊者將假幣沖進NEWDEX交易所，并掛出大額買單，用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露，攻擊者拿到了4028個EOS。9月14日，Newdex再次遭到黑客攻擊，黑客依然利用假幣攻擊在交易所換取真幣，共計獲利11803個EOS，價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日，EOSBet也遭到了類似的黑客攻擊，共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日，EOSBet遭受黑客利用假幣套用真幣，未投注就獲得42000個EOS大獎。第三次發生在9月14日，EOSBet遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月15日，EOS游戲EOS.Win也遭受了黑客假幣攻擊，共計損失超過4000個EOS。

當然，這僅僅是假幣攻擊事件的一部分，黑客早已將假幣攻擊當做斂財工具，這無疑對廣大開發者提出了更高的安全要求。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

火星財經

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627173.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

少寫一行代碼的教訓：TronBank1.7億BTT僅3小時就被洗劫一空

下一篇：

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布，本體與成都鏈安保障智能合約安全

Tags：EOSBTTETHAPPeosdac幣最新消息PBTT價格ETH官網錢包影子去中心化交易所app下載

XMR