據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT。針對此次攻擊事件,成都鏈安發布安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場。
原文標題:《波場DApp超1.7億BTT被盜,官方回應:與協議本身沒任何關系》作者:文學、孫曜
監測顯示,黑客創建了名為BTTx的假幣向合約發起「invest」函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。
事件發生后,TronBank項目方于4月11日上午10:15關閉了BTT服務頁面,并表示會對損失的BTT部分全額進行賠付。
受此次攻擊事件影響,TRX和BTT雙雙下跌,截止發稿時,TRX火幣報價0.027025美元,24小時跌10.64%,BTT火幣報價0.000715美元,24小時跌6.04%。
針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件,波場回應稱,該合約安全問題出現在波場DApp上,與協議本身沒有任何關系,波場協議完全安全可靠。
跨鏈協議iSwap正式上線 最快3秒完成跨鏈轉換:9月6日消息,由Huobi Ventures 投資的跨鏈協議iSwap今天正式上線,目前該協議已實現 HECO、BSC、Polygon、ETH和 OKExChain五條鏈之間的跨鏈轉換。通過iSwap跨鏈協議,用戶可以在低交易費用、低滑點的環境下完成不同鏈之間的資產轉移。據悉,iSwap上的交易時間最快可在3秒完成,比市面上其他同類型跨鏈方案的交易時間快15倍。此外,iSwap 通過訪問第三方流動性的方式,有效降低了跨鏈用戶的滑點風險,同時5條鏈累計覆蓋700+幣種,給用戶多重選擇。
iSwap產品總監Ross O'Donovan表示,DeFi世界的時間就是金錢,未來iSwap希望為數十萬的DeFi用戶提供更好的跨鏈體驗。(Cointelegraph)[2021/9/6 23:02:44]
波場創始人孫宇晨在社交媒體中也表達了類似觀點,表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導,提升DApp的安全性。
針對此次假幣攻擊事件,我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
牛鳳軒提到,攻擊事件產生的根本原因是合約代碼問題:TronBank的BTT投資產品高度復制了TRX投資產品的代碼,但無法判斷用戶投資的代幣是真BTT,還是假BTT。
GHX上線 KuCoin (庫幣) ,開盤上漲52.62%:據 KuCoin (庫幣) 交易所消息,KuCoin 已上線 GamerCoin (GHX) 項目并支持GHX/USDT 交易對。GHX開盤價為0.53USDT,當前報價0.8USDT,上線漲幅52.62%。
ChainGuardians是一款動漫風格的超級英雄區塊鏈游戲,玩家可以參加NFT挖礦和免費玩角色扮演游戲從而獲得收入。以“全民的交易所”著稱, KuCoin (庫幣) 旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/29 21:10:44]
蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機,提醒TRON合約開發者警惕假幣攻擊安全風險。
一、DApp專家:實際被盜數量大于1.7億枚
據Dappreview創始人牛鳳軒透露,TronBank的BTT投資產品于4月10日晚10點正式開放,僅三小時內總投資額超過2億枚BTT,此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。
至于為何1.7億枚BTT被盜,他將根本原因歸結為合約代碼問題:BTT投資產品高度復制了TRX投資產品的代碼,卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。
Gate.io將于今日14:00上線 OKT交易:據官方公告,Gate.io將于1月23日(今日)14:00上線 OKExChain (OKT)交易。風險提示:請務必注意價格變化,提前調整市場掛單,切勿追高。[2021/1/23 16:50:52]
牛鳳軒提供了兩個投資產品的代碼對比圖,圖左為BTT投資產品代碼。通過對比,可見除第26行之后的代碼存在差異外,其余代碼幾乎一樣。
但最致命的是BTT投資產品代碼沒有增加額外的判斷函數,無法判斷用戶投資的代幣是真BTT,還是假BTT。黑客顯然已經意識到了這個漏洞。
據牛鳳軒介紹,用戶在TronBank的收益主要有兩個來源,一是投資收益,隨時可以提取,二是用戶推薦返利,返利金額為投資數額的5%。這兩個收益來源,正是黑客盜走BTT的通道。
他同時提到,在發現該攻擊后,Dappreview團隊第一時間進行了分析,發現黑客是同時用4個小號進行假幣攻擊。針對這一情況,他們隨即反饋給項目方,后者雖在社群中提醒用戶不要再繼續投資,但并沒有及時關閉頁面,仍有不明真相的群眾進入投資,而他們投入的BTT同樣會被黑客提走。因此,牛鳳軒判斷,實際被盜的BTT數量大于1.7億枚。
令牛鳳軒感到遺憾的是,項目方直到4月11日上午10:15才關閉網站頁面,并表示將對損失的BTT部分全額進行賠付。
BitCherry新官網及開發者網站同步上線 幫助創建區塊鏈解決方案:2020年12月24日,分布式商業公鏈BitCherry全新官網正式上線,官網首頁新增了瀏覽器、開發者社區和開發者網站入口,為開發者用戶帶來了更加便捷的瀏覽體驗。同時,BitCherry開發者網站也于24日正式上線,開發者網站包含瀏覽器、開發者文檔、智能合約開發教程等應用板塊,幫助開發者用戶更好了解BitCherry測試網絡。[2020/12/24 16:22:11]
談及該解決方案,牛鳳軒補充了一個信息:TronBank項目的TRX投資產品上線運行近一個月,總計用戶投資金額約4.4億TRX,其中項目方抽成總計6%,共2640萬TRX,約500萬人民幣。
由此可以推斷,項目方此前的營收完全可以承擔此次BTT賠付。
二、區塊鏈安全專家:主要過失在于項目方
針對此次攻擊事件,我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
蔣旭憲表示,黑客采用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之后調用多次withdraw函數取出BTT真幣。
PeckShield認為,這是繼TransferMint漏洞之后,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全,這主要跟開發者有關,因此提醒TRON合約開發者警惕此類安全風險。
CoinSave儲幣錢包上線 支持BTC、BCH、LTC隨存隨取:CoinSave儲幣錢包正式版于今日發布,目前支持的幣種有BTC、BCH、LTC。儲幣期限有隨存隨轉、三月期、六月期以及一年期。最高一年期的儲幣收益達21.9%。[2018/6/11]
TronBank官網截圖
楊霞進一步補充道,假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶,造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯,擾亂了正常交易秩序。
在她看來,假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗,錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。
至于該如何應對假幣攻擊事件,楊霞提到了2點:
1、項目方應事先進行安全審計,提前做好預防措施,即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后,項目方應立刻響應,暫時停止業務,排查問題并修復,之后追查損失資金流向,盡量追回損失。
與此同時,成都鏈安發布了安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。
三、假幣攻擊事件盤點
事實上,假幣攻擊事件在區塊鏈世界并不少見。
PeckShield創始人蔣旭憲指出,假幣攻擊手法在EOS中已經出現,比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS,并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD,最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。最后由其他賬戶賣出以上代幣,獲得4028個真實EOS。
PeckShield對假EOS攻擊原理的解釋是,黑客創建了一種基于EOS的代幣,并將其命名為「EOS」,并向被攻擊合約賬號大量轉賬假EOS代幣,沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配獎金。
這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少,并提供了自去年至今相關案例統計。
我們梳理了EOS合約上發生的假幣攻擊事件
1、比特派EETH遭受「假幣攻擊」,暴跌99%
據IMEOS消息,2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊,并且遇到大量砸盤。
EETH12日16時上線后,在17時遭到假幣攻擊。受此影響,EETH短時間暴跌99%。
2、NEWDEX兩度被黑,損失5.9萬美元
2018年9月19日,據thenextweb消息,「假幣攻擊」發起者創造了一種全新的EOS代幣,并將該假幣名為「EOS」,發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。
經測試發現攻擊可行之后,攻擊者將假幣沖進NEWDEX交易所,并掛出大額買單,用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。
據交易所Newdex透露,攻擊者拿到了4028個EOS。9月14日,Newdex再次遭到黑客攻擊,黑客依然利用假幣攻擊在交易所換取真幣,共計獲利11803個EOS,價值5.9萬美金。
3.EOSBet一個月內被攻擊3次
2018年9月10日,EOSBet也遭到了類似的黑客攻擊,共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。
第二次發生在9月12日,EOSBet遭受黑客利用假幣套用真幣,未投注就獲得42000個EOS大獎。第三次發生在9月14日,EOSBet遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
9月15日,EOS游戲EOS.Win也遭受了黑客假幣攻擊,共計損失超過4000個EOS。
當然,這僅僅是假幣攻擊事件的一部分,黑客早已將假幣攻擊當做斂財工具,這無疑對廣大開發者提出了更高的安全要求。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
火星財經
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627173.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
少寫一行代碼的教訓:TronBank1.7億BTT僅3小時就被洗劫一空
下一篇:
以太坊后全球第二個形式化驗證平臺VaaS-ONT發布,本體與成都鏈安保障智能合約安全
繼沃爾頓鏈WTC全功能主網上線、開放社區挖礦后,我們即將迎來沃爾頓鏈全功能主網的開源。目前,開源已經進入最后準備階段,將于5月30正式開源。沃爾頓鏈是一條底層的商業生態公有鏈.
1900/1/1 0:00:00根據TheNextWeb的報道,軟件安全公司Coveware最近發布了一份有關勒索軟件攻擊的報告顯示,2019年第一季度受害者向勒索軟件攻擊者的加密貨幣贖金支付比上一季度增加了近90%.
1900/1/1 0:00:00親愛的Coinw用戶:Coinw將于今日20:00開啟ELF充值&交易賽,活動期間在Coinw平臺充值或交易ELF,即有機會獲得2萬COINS空投和CoinwVIP會員.
1900/1/1 0:00:00據5月21日以色列媒體globes.com報道,以色列中央地方法院接受了以色列稅務局的立場,認定比特幣是一種資產而非貨幣,在其出售中獲利可能需要繳納資本利得稅.
1900/1/1 0:00:00昨日,美國版權署網站上公布了備受爭議的BitcoinSV的主導者CraigWright申請注冊比特幣白皮書以及早期比特幣代碼的版權的消息.
1900/1/1 0:00:00金色財經比特幣5月24日訊為了確保反洗錢流程部署到位,日本金融服務廳又開始審查該國的加密貨幣交易所了.
1900/1/1 0:00:00