據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT。針對此次攻擊事件,成都鏈安發布安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場。
原文標題:《波場DApp超1.7億BTT被盜,官方回應:與協議本身沒任何關系》作者:文學、孫曜
監測顯示,黑客創建了名為BTTx的假幣向合約發起「invest」函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。
事件發生后,TronBank項目方于4月11日上午10:15關閉了BTT服務頁面,并表示會對損失的BTT部分全額進行賠付。
受此次攻擊事件影響,TRX和BTT雙雙下跌,截止發稿時,TRX火幣報價0.027025美元,24小時跌10.64%,BTT火幣報價0.000715美元,24小時跌6.04%。
針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件,波場回應稱,該合約安全問題出現在波場DApp上,與協議本身沒有任何關系,波場協議完全安全可靠。
GLQ上線 KuCoin ,開盤上漲56.25%:據KuCoin(庫幣)交易所消息,KuCoin已上線Graphlinq Protocol(GLQ)項目并支持GLQ/USDT和GLQ/BTC交易對。GLQ開盤價為0.0685USDT,當前報價0.106USDT,上線漲幅56.25%。GraphLinq是一種無代碼協議,該協議允許用戶不使用編碼即可自動執行面向加密的鏈上和鏈下操作。以“全民的交易所” 著稱,KuCoin(庫幣)旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/5/18 22:15:27]
波場創始人孫宇晨在社交媒體中也表達了類似觀點,表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導,提升DApp的安全性。
針對此次假幣攻擊事件,我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
牛鳳軒提到,攻擊事件產生的根本原因是合約代碼問題:TronBank的BTT投資產品高度復制了TRX投資產品的代碼,但無法判斷用戶投資的代幣是真BTT,還是假BTT。
蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機,提醒TRON合約開發者警惕假幣攻擊安全風險。
KuCoin首發上線 Polylastic:據 KuCoin (庫幣) 官方公告, KuCoin宣布首發上線Polylastic (POLX)項目并支持POLX/USDT 交易對,于5月10日12:00開放充值服務,18:00正式開放交易。
Polylastic是基于幣安智能鏈開發的Elastic Finance聚合器。以“全民的交易所”著稱, KuCoin (庫幣) 旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/5/6 21:30:15]
一、DApp專家:實際被盜數量大于1.7億枚
據Dappreview創始人牛鳳軒透露,TronBank的BTT投資產品于4月10日晚10點正式開放,僅三小時內總投資額超過2億枚BTT,此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。
至于為何1.7億枚BTT被盜,他將根本原因歸結為合約代碼問題:BTT投資產品高度復制了TRX投資產品的代碼,卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。
牛鳳軒提供了兩個投資產品的代碼對比圖,圖左為BTT投資產品代碼。通過對比,可見除第26行之后的代碼存在差異外,其余代碼幾乎一樣。
STND上線 KuCoin (庫幣) ,開盤上漲2699%:據 KuCoin (庫幣) 交易所消息,KuCoin 已首發上線 Standard Protocol (STND) 項目并支持STND/USDT和STND/ETH交易對。STND開盤價為0.25USDT,當前報價6.99USDT,上線漲幅2699%。 同時,庫幣已開啟 STND上線福利,參與活動即可瓜分30,000 USDT豪華獎池。
以“全民的交易所”著稱, KuCoin (庫幣) 旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/30 21:11:54]
但最致命的是BTT投資產品代碼沒有增加額外的判斷函數,無法判斷用戶投資的代幣是真BTT,還是假BTT。黑客顯然已經意識到了這個漏洞。
據牛鳳軒介紹,用戶在TronBank的收益主要有兩個來源,一是投資收益,隨時可以提取,二是用戶推薦返利,返利金額為投資數額的5%。這兩個收益來源,正是黑客盜走BTT的通道。
他同時提到,在發現該攻擊后,Dappreview團隊第一時間進行了分析,發現黑客是同時用4個小號進行假幣攻擊。針對這一情況,他們隨即反饋給項目方,后者雖在社群中提醒用戶不要再繼續投資,但并沒有及時關閉頁面,仍有不明真相的群眾進入投資,而他們投入的BTT同樣會被黑客提走。因此,牛鳳軒判斷,實際被盜的BTT數量大于1.7億枚。
Gemini 即將上線 LRC、BNT、1INCH 等七種代幣:加密貨幣交易所Gemini宣布新增支持6種代幣的托管和交易,包括Loopring代幣LRC、Bancor代幣BNT、1inch代幣1INCH、TheSandbox代幣SAND、Skale代幣SKL和TheGraph代幣GRT,另外,還將上線此前已支持托管的Enjin代幣ENJ。目前,Gemini已開放這些幣種的存款服務。[2021/3/23 19:09:02]
令牛鳳軒感到遺憾的是,項目方直到4月11日上午10:15才關閉網站頁面,并表示將對損失的BTT部分全額進行賠付。
談及該解決方案,牛鳳軒補充了一個信息:TronBank項目的TRX投資產品上線運行近一個月,總計用戶投資金額約4.4億TRX,其中項目方抽成總計6%,共2640萬TRX,約500萬人民幣。
由此可以推斷,項目方此前的營收完全可以承擔此次BTT賠付。
二、區塊鏈安全專家:主要過失在于項目方
針對此次攻擊事件,我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。
蔣旭憲表示,黑客采用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之后調用多次withdraw函數取出BTT真幣。
FTX 已上線 yearn.finance 代幣 YFI 的現貨交易:據官方公告,加密衍生品交易所 FTX 已上線 DeFi 聚合收益協議 yearn.finance 的治理代幣 YFI 的YFI/USDT 和 YFI/USD 現貨交易對。無提幣手續費。[2020/7/25]
PeckShield認為,這是繼TransferMint漏洞之后,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全,這主要跟開發者有關,因此提醒TRON合約開發者警惕此類安全風險。
TronBank官網截圖
楊霞進一步補充道,假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶,造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯,擾亂了正常交易秩序。
在她看來,假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗,錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。
至于該如何應對假幣攻擊事件,楊霞提到了2點:
1、項目方應事先進行安全審計,提前做好預防措施,即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后,項目方應立刻響應,暫時停止業務,排查問題并修復,之后追查損失資金流向,盡量追回損失。
與此同時,成都鏈安發布了安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。
三、假幣攻擊事件盤點
事實上,假幣攻擊事件在區塊鏈世界并不少見。
PeckShield創始人蔣旭憲指出,假幣攻擊手法在EOS中已經出現,比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS,并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD,最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。最后由其他賬戶賣出以上代幣,獲得4028個真實EOS。
PeckShield對假EOS攻擊原理的解釋是,黑客創建了一種基于EOS的代幣,并將其命名為「EOS」,并向被攻擊合約賬號大量轉賬假EOS代幣,沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配獎金。
這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少,并提供了自去年至今相關案例統計。
我們梳理了EOS合約上發生的假幣攻擊事件
1、比特派EETH遭受「假幣攻擊」,暴跌99%
據IMEOS消息,2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊,并且遇到大量砸盤。
EETH12日16時上線后,在17時遭到假幣攻擊。受此影響,EETH短時間暴跌99%。
2、NEWDEX兩度被黑,損失5.9萬美元
2018年9月19日,據thenextweb消息,「假幣攻擊」發起者創造了一種全新的EOS代幣,并將該假幣名為「EOS」,發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。
經測試發現攻擊可行之后,攻擊者將假幣沖進NEWDEX交易所,并掛出大額買單,用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。
據交易所Newdex透露,攻擊者拿到了4028個EOS。9月14日,Newdex再次遭到黑客攻擊,黑客依然利用假幣攻擊在交易所換取真幣,共計獲利11803個EOS,價值5.9萬美金。
3.EOSBet一個月內被攻擊3次
2018年9月10日,EOSBet也遭到了類似的黑客攻擊,共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。
第二次發生在9月12日,EOSBet遭受黑客利用假幣套用真幣,未投注就獲得42000個EOS大獎。第三次發生在9月14日,EOSBet遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
9月15日,EOS游戲EOS.Win也遭受了黑客假幣攻擊,共計損失超過4000個EOS。
當然,這僅僅是假幣攻擊事件的一部分,黑客早已將假幣攻擊當做斂財工具,這無疑對廣大開發者提出了更高的安全要求。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
火星財經
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627173.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
少寫一行代碼的教訓:TronBank1.7億BTT僅3小時就被洗劫一空
下一篇:
以太坊后全球第二個形式化驗證平臺VaaS-ONT發布,本體與成都鏈安保障智能合約安全
尊敬的BITKER用戶:BITKER將于2019年5月24日17點正式開放?GUNTHY/USDT,GUNTHY/BTC交易對。充幣已經開啟,提幣將在5月25日開啟.
1900/1/1 0:00:00PlasmaCash推出的最重要的改進之一是“lightproofs”。Plasma結構要求用戶下載整個Plasma鏈,以確保他們的資金安全.
1900/1/1 0:00:00在這個世界,有一道約定俗稱的線,那就是市值排名前20,跨進這個門檻兒的,我們習慣叫它“主流幣”,而在此之外的,則沒有這個殊榮.
1900/1/1 0:00:00火星財經APP一線報道,紐約商品交易所的加密貨幣交易員AnthonyGrisanti在接受CNBC采訪時表示,比特幣價格將在短期內會回調至7000美元并進行調整.
1900/1/1 0:00:00火星財經APP行情顯示,平臺幣HT上行動力顯著,日內漲幅達11.56%,目前已突破3.2美元,最高觸及3.2666美元.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00