QUO:暗夜臨近，DApp江湖上演現實版"狼人殺"

"狼人殺"游戲里有一個規則，"狼人"可以在黑夜隨意殺人，在白天還能通過口舌雄辯來逃避"平民"的指認，最終兩面三刀殺光所有的"平民"贏得勝利。這兩天，DApp江湖里就上演了一個真實版"狼人殺"。一家名為TronBankPro的資金盤DApp被黑客洗劫了2,673萬個TRX，項目投資者"平民"蒙受了近500萬元的財產損失。然而，究竟誰是"狼人"？眾說不一，社區開始了激烈的討論。目前為止，出現了三種看似合理的故事主線：項目方"監守自盜"，其合約代碼中留有"后門"。原因在于，項目方開源的代碼和實際執行的代碼并不一致，向合約發送0.011911TRX的withdraw()操作會觸發預留的后門，將合約余額全部取走。盡管TronBankPro發了公告否認了這種說法，但目前為止，為何會存在"后門"并沒有合理的解釋。項目方遭第三方驗證服務平臺TSC"算計"。根據區塊鏈安全公司PeckShield的深入分析，作為第三方服務平臺，TSC早在4月28日即項目合約上線前就發現了該"后門"，并且成功實施了攻擊測試。但黑客代號wojak的用戶目前并未發現和TSC有任何關聯，一時間事情真相又陷入撲朔迷離。但可以斷定，第三方服務平臺TSC很難跟此事撇清關系了。黑客上演了"螳螂捕蟬黃雀在后"的精彩大戲。存在一種可能，TSC一早就命中了"后門"，但礙于資金池尚未壯大起來遲遲沒有下手，然而躲在暗處的黑客wojak同樣發現了"后門"，且搶先一步實施了攻擊。吊詭的是，wojak竟然還在事后現身說法，承諾將退還被盜資金，不過，因為種種原因，wojak很快又表態拒絕歸還，并已消失不見。如此任性且可愛的黑客，并不多見。PeckShield數字資產追蹤平臺介入了Tron平臺上的這起重大『安全事故』，并追蹤還原了事情的來龍去脈，盡可能的通過技術分析幫助受害投資者"平民"找到真相。至于以下講述的是天災還是人禍，留給讀者自行判斷。背景

Ripple CEO：美SEC針對Ripple案提起上訴或需數年時間:7月16日消息，Ripple首席執行官Brad Garlinghouse近日談及有關Ripple案的裁決時表示，預計SEC將針對此案提起上訴，但任何上訴都可能需要數年時間。

據悉，SEC發言人Scott Schneider周四表示，該機構“對于法院發現XRP作為投資合同（面向機構）提供和出售違反了證券法。SEC正在繼續對這一決定進行審查。[2023/7/16 10:58:24]

朋友，你聽說過TronBankPro嗎？一種日收益固定1.8%-4.8%的區塊鏈投資產品，我們合約代碼開源，合約通過『知名』校驗機構tronsmartcontract.space(TSC)驗證與鏈上數據一致。雖然我們之前受到BTTBank假幣事件的攻擊，但我們是一個負責任的團隊，我們不會，跑路...小白投資者認為既然TronBank團隊之前發生過安全事件，想必這次應該會做好相應的合約審查工作，用戶從其官網上的確可以看到，這個團隊還是在『做事的』，相比其它未開源DApp來說，這個項目方竟然把源代碼都公布了出來，『還是值得信賴的』。不專業的TSC

由于缺乏官方的認證平臺，一些DApp開發者平著『向用戶負責』的態度，Tron平臺上大部分DApp合約使用了第三方平臺TSC的合約一致性校驗服務。PeckShield安全人員深入分析發現：TSC能幫DApp開發者驗證一些基礎安全保障，但TSC服務代碼自身尚不完備，不能保證校驗結果的可靠性。截止目前TSC審核通過的278個合約中，其合約源碼與Tron鏈上一致的僅為85個，不合格比例高達70%，如此高比例的不合格率，如何能獲得用戶和DApp開發者的認可？PeckShield安全人員和TSC開發者取得聯系之后，對方也坦言此項服務尚在建設初期，不能保障審計結果的可靠性。另外，Tron官方并未承認，也不建議社區采納和信任tronsmartcontract.space的驗證結果，見Tron孫老板的微博內容：搞鬼的TSC

Aptos推出2000萬美元獎勵計劃，鼓勵藝術家進行鏈上創作:金色財經報道，Aptos宣布將推出2000萬美元的藝術家獎勵計劃，以鼓勵藝術家使用Aptos區塊鏈進行創作。創作者可以在Aptos基金會的網站上提交申請。Aptos將向獲獎者提供資金和“基礎設施接入”，幫助其“最大限度地利用”公司的生態系統。Aptos表示，它已經向熱衷于使用其區塊鏈創建Web3項目的藝術家和創作者提供了300萬美元。[2023/4/13 14:00:14]

PeckShield安全人員分析TSC官網，查找該站點是否存在被黑客攻擊的蛛絲馬跡，當訪問該站點『合約驗證』功能時，發現在這個關鍵時刻TSC出于某種原因關閉了。PeckShield安全人員與TSC維護者KhanhND69詢問相關事宜之后，對方表示之前的審計日志近期被刪除了，『合約驗證』功能關閉是由于當前在開發新版本的功能，這一舊功能已經下線。至于新功能何時上線，對方并未明確表示。至于TSC的說法是否合乎邏輯，動機是否單純，留待讀者自行品味。既然TSC只是一個『獨立』的代碼驗證平臺，那么他和這次TronBankPro被『盜』又有什么關系呢？通過GitHub上開源的后端驗證代碼：可以知曉，其驗證的流程如下：通過指定的合約地址從Tron鏈上獲取到合約的bytecodecreateByteCode;通過給定的合約源碼和編譯器版本編譯得到bytecodereCompileByteCode;根據reCompileByteCode長度獲取等長的createByteCode，然后按字節比較兩者的差異性；如果兩者差異的字節數<64，那么認為兩者是一致的，否則驗證失敗。上述的驗證流程簡單『實在』，小編對此次受『攻擊』的TronBankPro合約，即TSC開源的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ源碼重新驗證，發現兩者無法匹配，差異非常之大，根本不可能滿足代碼中的條件。在此，小編認為TSC在此次『事故』中非常有可能不按套路出牌。另外，小編意外發現了以下幾個疑點：TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約驗證時間在北京時間2019-04-2822:51:32；而在同一天TSC將GitHub上面開源的所有已經驗證的合約的gitcommit歷史全部刪除了，號稱Dbbackup,刪除之后驗證的第一個合約就是TronBankPro的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約，這怎么看都像是在搞事情：TSC#author頁面顯示，這一平臺的捐助者地址為TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr：天黑了

報告：印度到今年年底將擁有超過 1.5 億加密貨幣用戶:金色財經報道，根據 Statista 最近的一份報告，到今年年底，印度的加密貨幣社區可能會激增至超過 1.56 億成員，將有超過 11% 的人口投入加密貨幣領域。該國的加密貨幣采用率預計將超過美國、英國、日本和俄羅斯。

Statista 確定，大多數處理數字資產的印度人都受過良好教育，年齡在 18-40 歲之間。之前的研究表明，年輕人也最有可能與其他國家的行業互動。 印度的加密貨幣市場今年可提供價值約 33 億美元的利潤，而到 2027 年收入可能激增至近 60 億美元。[2023/3/27 13:27:54]

天黑了，所有人請閉眼，狼人出來殺人…仔細分析與TTX5N…這一地址有往來的其它地址信息，發現了一些比較有趣的故事，請聽小編慢慢道來。整個『事故』的時間線大體分為幾部分：準備期潛伏期收割期套現期看官，請看完整的故事情節：準備期

4.2817:35+UTC8TSC捐助者地址TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr創建了合約bytecode與后面出事的TronBankPro幾乎完全一樣的TBPro合約，合約地址為TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz，對應的交易哈希為b20242bbabfc357f4e6f5d31641d350670c7be1a6536eef1133f344a29972f53，試問當時TronBankPro合約并未上線，那么TSC如何知道一個并未上線的合約內容？4.2822:48+UTC8TronBank項目方部署TBPro合約，合約地址為TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ,交易哈希為267a8671989e5e0cf30cc9a32eb8a74cfb0c106209dd8ac462211687280419b5；根據tronsmartcontract.verify/TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ/info.jsonatmaster·TSC/tronsmartcontract.verify中指定的時間，我們知道TronBankPro部署的TBPro在4.2822:51+UTC8『驗證通過』；；4.2823:00+UTC8TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對TronBankPro部署的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約發送withdraw()命令，并攜帶了0.011011TRX,對應的交易哈希為d6d89713ebdb98402ddfd1d454be394a5521c83b7d385ce2c394924a2b923c89。從區塊瀏覽器中可以看到，這一筆交易被REVERT，根據PeskShield安全人員分析認為原因是因為發送的withdraw()命令攜帶了TRX,這一點是可以理解的：withdraw()用于從合約中取回之前投資的TRX,這時攜帶了TRX過來的交易認為是『誤操作』，REVERT是合理的：潛伏期

Crypto.com暫停Solana鏈上的USDC與USDT的存取:11月9日消息，交易所Crypto.com表示，暫停 Solana 鏈上的 USDC 與 USDT 的存取，其他鏈的存取沒有問題。據稱，Solana 網絡基本已經中斷。（CoinDesk）[2022/11/9 7:23:09]

等待著用戶投資蜂擁而至，合約資金池壯大。4.3010:12+UTC8TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對自己部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約同樣發送攜帶了0.011011TRX的withdraw()命令,對應的交易哈希為4b8dd07afa029126f16c192e8eb8a158f883e80a6be1eceaa432247bb06ef6ab，同上一個操作，這一筆交易被REVERT；4.3010:12+UTC8在稍后的幾個區塊中，TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr對自己部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約同樣發送攜帶了0.011911TRX的withdraw()命令,對應的交易哈希為87bf173c126c4873ad333c02d4e352bacda9bfaae4d91d0bce156eb64bd5219f，而這一次卻成功了：這一次，不僅成功了，而且還從TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約中轉了100.011911TRX到此次交易的發起方TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr。到此為止，好像并沒有太多的故事發生，不過好戲才剛剛開始...收割期

英國搖滾樂隊Muse其NFT專輯登上英國排行榜榜首:9月5日消息，英國搖滾樂隊Muse通過其NFT專輯Will of the People登上英國專輯銷售排行榜榜首，Will of the People在發售首周售出了51500張，超過前10名中其余的總和，盡管其中只有一小部分銷量是NFT（約占銷售總額的1.96%）。

此前消息。Muse于8月26日以NFT形式發行其專輯“Will of the People”，成為首張進入英國和澳大利亞排行榜的專輯。（The Guardian）[2022/9/5 13:09:47]

5.1假期總是那么地來去匆匆，在小編還在家帶娃的時間里，TronBankPro合約已經吸引了近1600+用戶近30,000,000TRX的投資：折合當前的市價為700,000美元。眼看就到了豐收期，可是05.0304:12+UTC8有一個稱號為wojak的黑客THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH通過與TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr在上面一致的操作半路截胡了，并成功『取回』2600W+TRX。至于wojak黑客到底是誰，目前無人知曉。具體的交易哈希如下：基于此，PeckShield安全人員認為TSCTTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr部署的TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz合約與TronBankPro部署的TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約均存在后門，至于后門是如何被安插的，被誰安插的，還不得而知。PeckShield安全人員對TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz和TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ合約逆向代碼之后，發現其中的withdraw()邏輯中存在下面一段代碼：不難看出，withdraw()根據msg.value即攜帶的TRX大小分為三種情況：0x2B03==msg.value16進制的0x2B03轉換成十進制之后為11011Sun(由于TRX==10^6Sun)，等價于0.011011TRX。這個值剛好就是上面TSCTTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr測試時攜帶的TRX值。這個分支下，并不改變狀態，交易輸出OK，并最后以REVERT退出，這一行為與上面交易的返回信息一致，PeckShield安全人員認為這個分支代碼是開發者故意留下的調試功能，以確認合約的邏輯是否符合預期。0x2E87==msg.value：16進制的0x2E87轉換成十進制之后為11911Sun(由于TRX==10^6Sun)，等價于0.011911TRX。這一值與TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr以及THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH調用的值是相等的。這一分支下，將本合約中所有的TRXbalance全部轉移到調用發起者，一點不剩。其它情況，正常的withdraw()取回操作。在此，PeckShield安全人員認為，上述的0.011011TRX以REVERT退回的『誤操作』實則是黑客進行攻擊之前的測試環節。套現期

黑客THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH獲取2600W+TRX之后，開始分批次分步驟轉移資產：其中，截止北京時間2019-5-519:00共有1,4000,000TRX轉移至Binance交易所。天亮了

以上純技術的分析說明，充分驗證了兩點：第三方驗證服務平臺TSC并不專業，其服務過的大部分合約均存在合約源碼與Tron鏈上bytecode不一致的情況，證明TronBankPro項目方找TSC進行一致性校驗服務存在很大疏漏。第三方驗證服務平臺TSC很難避嫌，其早在TronBankPro項目上線前發現了合約漏洞，然而其并沒有督促項目方及時調整問題，而是反其道而行之實施了攻擊測試，而今項目合約遭到了攻擊，TSC又怎能置身事外呢？當然，即使PeckShield已經通過技術追蹤，將事情的來龍去脈還原至此，在區塊鏈的虛擬世界里，這場"狼人殺"大戲究竟誰是狼人，仍然難有定論。項目方在不對損害資金進行如數賠付之前，于情于理都難逃其責；第三方服務平臺TSC目前來看是最大的"鬼"，但其和項目方的關系真說得清嗎？至于那個任性又有些小情緒的黑客wojak究竟是真有其人，還是只是漩渦中一方的小馬甲，誰能道得明，說得清？校驗得了的是代碼，猜不透的是人性！PeckShield是面向全球頂尖的區塊鏈數據與安全服務提供商。商業與媒體合作，請通過Telegram、Twitter或郵件與我們聯系。

Tags：QUOTSCTROtronQUONTSCT價格ASTROPEPEtronlink錢包如何導入資產

SHIB