此次TronBank合約被盜事件再次印證了一個簡單到令人發指的常識——所謂智能合約的開源并不能等同于「無條件的安全」,而且粗糙的去中心化機制可能存在被利用的中心化黑幕可能。在目前這個混沌無序的市場環境中,作為一個成熟的「韭菜」,請不要再輕易相信任何口頭上的去中心化承諾。
原文標題:《2600萬TRX被盜背后的羅生門》作者:DR小伙伴
北京時間5月3日凌晨4點12分,一筆神奇的合約調用轉走了TronBank合約中的2673萬TRX,合約余額歸零。
僅僅在20多天前,Tronbank團隊的第二個游戲BTTBank在發布3小時內即被黑客用假幣攻擊并盜走數千萬BTT,事隔不到一個月,第三款游戲TRXPro于4月29日20點正式上線,幾天時間之內,合約余額已經突破2500萬TRX。
這是否是TRON生態上的Dapp又一次被黑客盯上并成功洗劫一空?
而接下來發生的這一切,更讓所有人始料未及
偶然觸發的Bug?
合約余額歸零后,項目方telegram群里面騙局和黑客的質疑聲不絕于耳,DappReview和小伙伴們開始著手研究到底發生了什么。「黑客」的地址為THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH,利用DappReview的玩家數據查看工具,可以看到該地址的所有者像是一個正常的Dapp玩家,從今年1月到5月該玩家涉獵過數十個Dapp,其中TronGoo是他玩過最多的游戲,從TronGoo官方排行榜可以看到他就是排名第二的大戶玩家。
安全團隊:paraswap部署者私鑰疑似泄露,資金在多個鏈上被盜:10月11日消息,據Supremacy安全團隊監測,2022年10月11日,paraswap部署者地址在多個鏈(ETH、BSC、FTM)上發起異常交易,將其地址中的全部余額轉移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。經過分析,該地址為Profanity漏洞利用者地址,其歷史記錄中有竊取多個靚號地址資產的痕跡。經過排查,目前只有paraswap部署者地址自身資產遭到竊取,暫不影響paraswap多簽金庫(簽名閾值為2),但不排除其他多簽地址也由Profanity生成,所以多簽金庫也可能存在風險。目前Supremacy團隊已聯系paraswap官方傳達信息,在此再次呼吁大家即時將及時更換由Profanity生成的地址,針對Profanity地址的攻擊仍在持續進行。[2022/10/11 10:30:53]
數據來源:https://player.dapp.review/
發生被盜事件約2個小時之后,在一個名為ScamWatch的Discord頻道中,調走這一筆2673萬TRX的地址THeRTT擁有者wojak現身了。
根據wojak的說法,他寫了個腳本在分析波場虛擬機字節碼,批量掃描合約并發起交易看看有沒有什么能賺到錢的方法,結果偶然之中命中了Tronbank合約的bug。一開始連他自己都不知道這筆錢是從Tronbank打過來的。
社區里部分人建議wojak把錢還給Tronbank開發者,而wojak認為這不是他的問題,開發者應該自己寫測試例子,做審計以及至少跑一些形式化驗證,他愿意把這筆錢原封不動還給Tronbank的每一個投資者,而不是項目方的開發者。
130個無聊猿NFT在OpenSea上被標記為被盜或可疑。:金色財經報道,據Watcher.Guru發推稱,130個Bored Ape Yacht Club(BAYC)NFT在OpenSea上被標記為被盜或可疑。[2022/8/21 12:38:46]
wojak要求參與了Tronbank的投資者發給他投資的交易hash值以及自己的地址,他將寫一個腳本進行驗證,并承諾退款給有損失的Tronbank投資人。
刻意埋藏的后門?
隨著調查的深入,那一筆觸發Bug的交易被放回桌面上被仔細的剖析。我們再來看一下:
注意到,該筆交易調用的是合約里withdraw函數,發送的金額為0.011911TRX,要注意在Tronbank正常的業務邏輯下,調用withdraw函數是不應該發送任何TRX的,金額應該為0.這一點在源代碼中就可以驗證。
像Tronbank這樣資金盤屬性的Dapp,往往都會把代碼開源讓合約和邏輯變得透明可信來吸引投資人,在網站最明顯的位置,也標明了通過第三方驗證工具tronsmartcontract.space進行合約代碼驗證后的代碼信息。
從TSC點開源代碼之后,找到withdraw函數,函數第一行會先調用_withdraw()來取得可以提取的TRX金額,在_withdraw()函數的第一行我們可以看到:
require(msg.value==0,"wrongtrxamount");
這一行代碼的意思是要求該筆交易發送的TRX金額必須為零,否則無法繼續執行,交易會被REVERT。
WhaleAlert:4萬枚KuCoin被盜SNX轉移至未知錢包:WhaleAlert發推表示,4萬枚被盜SNX從KuCoinHacked2020轉移至未知錢包。[2020/9/28]
也就是說,按照開源代碼的邏輯,那一筆觸發Bug的交易根本不可能發生。
現實變成了,TRXPro的合約實際執行邏輯和所謂「開源」的代碼邏輯并不一致。
這里補充說明一下,所謂的代碼認證過程是這樣:
1、開發者在主網發布合約;2、開發者在TSC上傳代碼,選擇編譯版本,編譯為bytecodes;3、TSC把步驟2中的bytecodes和步驟1中發布合約的bytecodes做匹配,匹配成功,則認證通過,理論上多或者少一個空格都不行;
進一步深扒,從tronscan上找到TRXPro合約的bytecodes,用反編譯工具進行處理得到:
反編譯工具:
https://www.trustlook.com/products/smartcontractguardian
在withdraw函數中,多了一個判斷elseif((0x2E87==msg.value)),如果滿足條件,那么就會把合約的余額全部轉給交易發起者!我們把16進制的數字0x2E87轉換成10進制,也就是11911,要知道TRX的精度為6位,11911所對應的TRX金額就是0.011911TRX...而這一部分判斷在TSC的開源代碼中是不存在的,看起來就像是是一個被藏起來沒有公布的后門。
用更簡單的語言梳理一遍:
孫宇晨:針對庫幣被盜一事,TRONSCAN和Poloniex將提供必要幫助:針對庫幣被盜一事,孫宇晨發推稱,對庫幣團隊以及所有用戶的遭遇表示同情,希望他們能盡快收回資金。TRONSCAN將標記黑客的地址,以便所有交易所伙伴都知道。Poloniex將保持高度警惕,以防被盜資金轉移到Poloniex。[2020/9/26]
1、在主網上部署的合約,通過反編譯發現,調用withdraw函數時,如果發送金額等于0.011911TRX,則會轉移全部合約余額;2、在TSC上認證過的開源代碼中,如果發送金額不為零調用withdraw函數,交易會被撤回。
那么一切就很清晰了,實際發生的與第一點完全吻合,主網的代碼運行沒有問題,即TronBank在主網部署的合約中存在一個可以直接提走合約余額的后門代碼,而有意思的在于第二點,明明不一樣的代碼邏輯是如何上傳后通過了TSC的認證過程?
根據已有的信息,斷定「是開發者在合約之中放置后門」這個結論仍然為時過早,目前我們可以得出的客觀結論只有兩點:
1、TRXPro在主網的合約中存在后門
2、TSC上認證過的代碼與實際合約運行邏輯不符
注:以下內容是基于現有事實依據的可能性探討,不代表最終結論和真相,請在傳播時不要斷章取義。
至于后門是誰放置的,如何放置的?目前沒有任何實錘證據,有的人認為是Tronbank開發者,有的人認為開發者的實力還不足以通過欺騙TSC驗證與實際部署所不同的代碼。
客觀來分析存在的可能性,有以下幾種:
動態 | 2018年被盜的加密貨幣很大部分來自日本、韓國等亞洲市場:據bitcoinnews消息,根據《2018年第四季度加密貨幣反洗錢報告》顯示,2018年被盜的價值17億美元的加密貨幣中,有很大一部分來自日本和韓國等亞洲市場,在通過黑客攻擊或詐騙竊取的資金中,約9.5億美元來自對比特幣交易所的網絡攻擊。其余來自一系列犯罪活動,如ICO退出騙局、龐氏騙局和手機SIM卡互換。自2016年以來的兩年時間里,這一數字增長了7倍,報告認為有必要加強監管。[2019/2/2]
可能性一:Tronbank開發者在實際部署的合約中夾雜私貨放置了后門,并成功欺騙了TSC完成了另一份沒有后門的代碼驗證。
在探討這種可能性時,如何欺騙TSC成為了焦點,如果真的TSC的驗證存在Bug,那么這意味著之前所有通過TSC認證并標榜開源的Dapp都不再可信和透明,事實上,在Discord群里,TSC的開發者Khanh承認代碼已經很久沒有維護并存在bug的可能性,也有其他開發者證實自己實際部署的代碼和通過認證的代碼可以不完全相同。
另一方面,Tronbank開發者在Telegram群中多次聲稱團隊沒有在合約中放置任何的后門,有一種自證清白的方式是:官方給出部署時的源代碼以及編譯方式,理論上任何人按照同樣方式編譯出來的bytecode和線上部署的TRXPro合約應該一致。但當我們提出該質疑時,官方回復如下:
這個回復的內容如果當真,則該事件將更加戲劇化和復雜化,參考可能性三
可能性二:Tronbank團隊和TSC團隊合謀,部署了有后門的合約,同時TSC協助用另一個沒有后門的合約完成驗證。
這是在「欺騙TSC」很難成立的前提下提出的可能性,TSC最終打上驗證的標簽其實是中心化的行為,完全可以人為操作,但對于TSC作為一個第三方合約驗證工具來說,目前尚無競品,做這樣的事情無疑嚴重損傷自己的品牌,串通合謀是在性價比太低。
可能性三:Tronbank團隊沒有在合約中放置后門,而是后門在合約部署過程中以某種方式產生。
這種可能性是基于「可能一」中的官方回復的一種暗示,即項目方在合約部署時確實使用的是沒有后門的合約,編譯工具在部署合約到主網的過程中出現了貓膩,加入了有問題的后門。但項目方目前沒有提供任何的可驗證信息,使用的編譯工具,以及同樣代碼兩次編譯不同結果的信息。
不論如何,TronBank開發者實際部署的代碼原樣我們不得而知,也無法驗證真偽,該事件的真相需要等待各方提供更有說服力的證據才能被逐漸還原出來。
至少在此刻,我們還不能下定論,究竟是誰埋下了這個后門。
投資者的錢怎么辦?
在以上錯綜復雜的信息之下,大部分玩家已經放棄了追查真相,而更關注的則是找回損失。
在承諾退款并要求蒙受損失的投資人發送交易信息之后,wojak整整失聯了超過12小時,這期間wojak賬戶里的錢大部分被轉移到了幣安交易所。有人開始懷疑wojak并沒有打算退錢準備捐款跑路,還有人認為這是TronBank項目方監守自盜,wojak就是項目方之一。
5月3日下午2點44分
另一邊,在Tronbank的官方群里,管理員貼出的置頂消息是「TRXPro被黑客THeRTTCvN4SHEVYNqcLVLNGGVsWLR4smyH攻擊,目前開發團隊正在緊急處理,將會及時在群里更新消息」
5月3日晚上9點13分
wojak再次現身,說自己花4個多小時寫了腳本從鏈上獲取到tronbank的投資數據來跟收集到的損失信息對比,其中有不少人虛報損失,甚至有完全沒有參與過投資的用戶也來謊報損失,僅有少數人誠實地匯報了數字。wojak也把比對信息貼了出來https://pastebin.com/raw/gMtxCw97。
5月4日下午1點24分
整整一天之后,Tronbank項目方再次發出通知,他們正在聯系wojak進行退款,如果wojak在5月4日晚7點時沒有任何回復,官方將提供給投資人的補償方案。
5月4日下午3點-4點
針對之前所承諾的24小時內給出事件分析報告,官方將再次延期,聲稱將聯系安全公司,TSC以及波場官方做更多的調查。同時評論到,有很多細節仍需確認,之前從未遇到類似情況,這有可能是一個精彩的故事。
5月4日晚上7點
Tronbank項目方如約公布了賠償方案,令大部分人吃驚的是項目方沒有跑路,而是承諾在24小時內收集信息,并在72小時內進行全額賠付。如果賠付照常發放,這可能是Dapp歷史上最大的一次項目方賠付。
而此次賠付通知,可以說是給投資者吃了一顆定心丸,使得大部分用戶打消了「后門是由開發者留下」的疑慮。但在真相露出水面之前,DappReview依舊保留質疑的態度,等待項目方公開更多的調查報告。
結語
原本看起來是一起常見的黑客攻擊事件,卻喜劇般演化成一場羅生門。究竟是開發者留后門,巧被程序員打開,還是如項目方所說有更底層的問題存在?除了當局者本身,無人知曉。
投資者們對于去中心化的信任崩塌,寄托于中心化的信任。雖然嚴格意義上來講最終的真相可能并不是「去中心化的鍋」,但對于普通用戶而言,很難區分其中差異,大部分用戶的認知只能停留在「智能合約為什么開源了明明沒有問題還被黑了?」
在本次事件中,雖然Tronbank承諾賠付投資人受損的利益,但受傷的無疑是波場的整個Dapp生態,基于TSC認證的開源代碼所產生的信任和背書已經毫無價值,在波場官方出來驗證工具之前,DappReview建議各位Dapp玩家不要輕信項目方所謂代碼開源言論。
此外,截至到發稿,wojak尚未再次露面,也未將資金退還給任何投資人。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
DappReview
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627214.html
TRX波場
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
如何利用CORS配置錯誤漏洞攻擊比特幣交易所
尊敬的用戶: Bibox即將上線CreateBreakingNewsTogether,具體時間如下:北京時間2019年5月28日11:00開放CBNT充值、提現;CertiK:ArbitrumN.
1900/1/1 0:00:00作者:徐茂桐,ARPA聯合創始人&CEO稿件來源:小雨智媒過去的20年,互聯網和移動互聯網的高速發展,給社會帶來給了巨大的變革,給人類生活帶來了極大的方便.
1900/1/1 0:00:002018年3月30日,360創始人周鴻祎在朋友圈發布了一句話:「我的人生竟然如此失敗,沒有任何意義.
1900/1/1 0:00:00火星財經APP一線報道,5月24日,由人民日報數字傳播、三亞市商務會展局、國印金控、FINWEX主辦的“IFIC領航新經濟·全球金融科技創新峰會·三亞”在三亞舉行.
1900/1/1 0:00:00PoS及Staking都不是一個新的東西,早在2011年PoS的概念就被提出,中間經歷了多個階段逐漸演化到今天百花齊放的PoS公鏈,以及火熱的StakingEconomy.
1900/1/1 0:00:00Gate.io發布安卓手機APP2.4.7新版.下載地址:https://www.gateio.co/mobileapp手機掃碼下載:本次版本2.4.7更新內容:1.新增賬單功能.
1900/1/1 0:00:00