據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT。針對此次攻擊事件,成都鏈安發布安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場。
原文標題:《波場DApp超1.7億BTT被盜,官方回應:與協議本身沒任何關系》作者:文學、孫曜
監測顯示,黑客創建了名為BTTx的假幣向合約發起「invest」函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。
事件發生后,TronBank項目方于4月11日上午10:15關閉了BTT服務頁面,并表示會對損失的BTT部分全額進行賠付。
受此次攻擊事件影響,TRX和BTT雙雙下跌,截止發稿時,TRX火幣報價0.027025美元,24小時跌10.64%,BTT火幣報價0.000715美元,24小時跌6.04%。
針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件,波場回應稱,該合約安全問題出現在波場DApp上,與協議本身沒有任何關系,波場協議完全安全可靠。
KuCoin (庫幣) 上線 CGG ,現已開放充值:據 KuCoin (庫幣) 官方公告, KuCoin宣布上線 Chain Guardians (CGG)項目并支持CGG/USDT 交易對 ,目前已開啟CGG的充值服務, 于今日下午6點正式開放交易。 ChainGuardians是一款動漫風格的超級英雄區塊鏈游戲,玩家可以參加NFT挖礦和免費扮演角色游戲從而獲得收入。以“全民的交易所”著稱, KuCoin (庫幣) 旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/26 20:58:50]
波場創始人孫宇晨在社交媒體中也表達了類似觀點,表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導,提升DApp的安全性。
針對此次假幣攻擊事件,我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
牛鳳軒提到,攻擊事件產生的根本原因是合約代碼問題:TronBank的BTT投資產品高度復制了TRX投資產品的代碼,但無法判斷用戶投資的代幣是真BTT,還是假BTT。
蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機,提醒TRON合約開發者警惕假幣攻擊安全風險。
CoinBene將于今日15:00上線 BRH:據官方消息,CoinBene將于今日15:00上線Bitconch Reputation Heat (BRH),支持BRH/USDT交易對,充值現已開放。
BRH通過DeFi2.0,解決了DeFi1.0中幣圈內小范圍金融借貸方式的行業痛點,將鑄幣權交給生態和社區。BRH獨創的常青樹預言機協議(專利申請中),可以使得生態中的商業主體通過BRH發布任務,獲得流量推廣,同時交易中BRH也將作為手續費被銷毀,形成持續可發展的BRH金融杠桿模型,從而達到商業價值鑄造的金融價值,完美的將分布式金融和分布式商業落地實施。CoinBene旨在打造值得信賴的數字資產交易平臺,在全球180多個國家和地區擁有500多萬用戶,日活躍用戶數超10萬,日均交易額30億美元。[2021/2/4 18:51:57]
一、DApp專家:實際被盜數量大于1.7億枚
據Dappreview創始人牛鳳軒透露,TronBank的BTT投資產品于4月10日晚10點正式開放,僅三小時內總投資額超過2億枚BTT,此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。
至于為何1.7億枚BTT被盜,他將根本原因歸結為合約代碼問題:BTT投資產品高度復制了TRX投資產品的代碼,卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。
LBank 將于今日18:00上線 GOF/USDT 交易對:據官方消息,LBank將于今日18:00上線GOF/USDT交易對,并于16:00開啟充值。
GOF(Golff)定位于一站式加密銀行,打造輕量,開放,自由的金融世界。Golff DeFi的產品門檻低,快速流暢并同時兼顧中西方使用習慣,有效增加用戶粘性。 95%的治理代幣GOF通過流動性挖礦產出,團隊無代幣保留,創新型收益聚合器及理財增強保險讓用戶的收益更高。[2020/9/10]
牛鳳軒提供了兩個投資產品的代碼對比圖,圖左為BTT投資產品代碼。通過對比,可見除第26行之后的代碼存在差異外,其余代碼幾乎一樣。
但最致命的是BTT投資產品代碼沒有增加額外的判斷函數,無法判斷用戶投資的代幣是真BTT,還是假BTT。黑客顯然已經意識到了這個漏洞。
據牛鳳軒介紹,用戶在TronBank的收益主要有兩個來源,一是投資收益,隨時可以提取,二是用戶推薦返利,返利金額為投資數額的5%。這兩個收益來源,正是黑客盜走BTT的通道。
他同時提到,在發現該攻擊后,Dappreview團隊第一時間進行了分析,發現黑客是同時用4個小號進行假幣攻擊。針對這一情況,他們隨即反饋給項目方,后者雖在社群中提醒用戶不要再繼續投資,但并沒有及時關閉頁面,仍有不明真相的群眾進入投資,而他們投入的BTT同樣會被黑客提走。因此,牛鳳軒判斷,實際被盜的BTT數量大于1.7億枚。
公告 | 石榴礦池上線 Handshake礦池和定制化挖礦軟件:據石榴礦池官方消息指出,其已上線 Handshake礦池 和 Handshake 定制化挖礦軟件。目前石榴礦池的Handshake出塊率占全網60%以上,其定制化挖礦軟件6miner,挖礦效率比官方miner高50%以上。石榴礦池(6block)聚焦于數字貨幣領域內的“獨角獸”項目,提供挖礦、礦池、礦機、錢包等解決方案。[2020/2/5]
令牛鳳軒感到遺憾的是,項目方直到4月11日上午10:15才關閉網站頁面,并表示將對損失的BTT部分全額進行賠付。
談及該解決方案,牛鳳軒補充了一個信息:TronBank項目的TRX投資產品上線運行近一個月,總計用戶投資金額約4.4億TRX,其中項目方抽成總計6%,共2640萬TRX,約500萬人民幣。
由此可以推斷,項目方此前的營收完全可以承擔此次BTT賠付。
二、區塊鏈安全專家:主要過失在于項目方
針對此次攻擊事件,我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
蔣旭憲表示,黑客采用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之后調用多次withdraw函數取出BTT真幣。
比特幣期貨交易即將上線 各大銀行態度不一:芝加哥期貨交易所(CBOE)將于美國時間12月10日推出比特幣期貨產品,但是全球各大銀行和金融服務商對于是否為客戶提供相關服務的做法不一。高盛和荷蘭銀行表示僅會為某一類特定客戶提供比特幣期貨交易服務,而花旗銀行和美林銀行明確表示拒絕為用戶提供相應服務,法國興業銀行和摩根斯坦利目前態度曖昧,尚未公布任何消息。出于保密,目前CBOE方面也未公布比特幣期貨合作的銀行名單。[2017/12/10]
PeckShield認為,這是繼TransferMint漏洞之后,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全,這主要跟開發者有關,因此提醒TRON合約開發者警惕此類安全風險。
TronBank官網截圖
楊霞進一步補充道,假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶,造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯,擾亂了正常交易秩序。
在她看來,假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗,錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。
至于該如何應對假幣攻擊事件,楊霞提到了2點:
1、項目方應事先進行安全審計,提前做好預防措施,即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后,項目方應立刻響應,暫時停止業務,排查問題并修復,之后追查損失資金流向,盡量追回損失。
與此同時,成都鏈安發布了安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。
三、假幣攻擊事件盤點
事實上,假幣攻擊事件在區塊鏈世界并不少見。
PeckShield創始人蔣旭憲指出,假幣攻擊手法在EOS中已經出現,比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS,并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD,最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。最后由其他賬戶賣出以上代幣,獲得4028個真實EOS。
PeckShield對假EOS攻擊原理的解釋是,黑客創建了一種基于EOS的代幣,并將其命名為「EOS」,并向被攻擊合約賬號大量轉賬假EOS代幣,沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配獎金。
這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少,并提供了自去年至今相關案例統計。
我們梳理了EOS合約上發生的假幣攻擊事件
1、比特派EETH遭受「假幣攻擊」,暴跌99%
據IMEOS消息,2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊,并且遇到大量砸盤。
EETH12日16時上線后,在17時遭到假幣攻擊。受此影響,EETH短時間暴跌99%。
2、NEWDEX兩度被黑,損失5.9萬美元
2018年9月19日,據thenextweb消息,「假幣攻擊」發起者創造了一種全新的EOS代幣,并將該假幣名為「EOS」,發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。
經測試發現攻擊可行之后,攻擊者將假幣沖進NEWDEX交易所,并掛出大額買單,用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。
據交易所Newdex透露,攻擊者拿到了4028個EOS。9月14日,Newdex再次遭到黑客攻擊,黑客依然利用假幣攻擊在交易所換取真幣,共計獲利11803個EOS,價值5.9萬美金。
3.EOSBet一個月內被攻擊3次
2018年9月10日,EOSBet也遭到了類似的黑客攻擊,共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。
第二次發生在9月12日,EOSBet遭受黑客利用假幣套用真幣,未投注就獲得42000個EOS大獎。第三次發生在9月14日,EOSBet遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
9月15日,EOS游戲EOS.Win也遭受了黑客假幣攻擊,共計損失超過4000個EOS。
當然,這僅僅是假幣攻擊事件的一部分,黑客早已將假幣攻擊當做斂財工具,這無疑對廣大開發者提出了更高的安全要求。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
火星財經
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627173.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
少寫一行代碼的教訓:TronBank1.7億BTT僅3小時就被洗劫一空
下一篇:
以太坊后全球第二個形式化驗證平臺VaaS-ONT發布,本體與成都鏈安保障智能合約安全
Gate.io將于5月25日中午12:00開通Gowithmi(GMAT)交易以及提現服務。GMAT充值地址為:https://www.gateio.co/myaccount/deposit/G.
1900/1/1 0:00:002019年5月23日,TokenGazer發布了區塊鏈深度研究ReserveProtocol報告.
1900/1/1 0:00:001項目起源 在數字貨幣市場中,各種數字貨幣的價格并沒有漲幅和跌幅限制,因此這也造成了市場的波動性極大,容易暴跌或暴漲.
1900/1/1 0:00:001項目起源 EOS在主網上線之后發展非常迅速,但BOSCore團隊認為EOS目前還存在一些問題:由于目前EOS的資源模型的限制.
1900/1/1 0:00:00據《金色財經》快訊,DRE于5月21日15:00上線GOKO.com交易所僅24小時,漲幅竟高達612%!為了回饋廣大用戶的熱情,GOKO交易所聯合DRE項目方.
1900/1/1 0:00:00中興、華為、大疆、海康……當美國祭出技術封鎖的大旗,中國的企業相繼面臨生存挑戰。而作為下一代信息技術中的區塊鏈,中國在發展過程中是否會受到同樣的挑戰?由于中美區塊鏈發展的同步性、區塊鏈技術本身的.
1900/1/1 0:00:00