DAP:上線 3 小時即被盜走 1.7 億 BTT：TronBank 未審計代碼致假幣攻擊

據DappReview監測，波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。針對此次攻擊事件，成都鏈安發布安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

原文標題：《波場DApp超1.7億BTT被盜，官方回應：與協議本身沒任何關系》作者：文學、孫曜

監測顯示，黑客創建了名為BTTx的假幣向合約發起「invest」函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。

事件發生后，TronBank項目方于4月11日上午10:15關閉了BTT服務頁面，并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響，TRX和BTT雙雙下跌，截止發稿時，TRX火幣報價0.027025美元，24小時跌10.64%，BTT火幣報價0.000715美元，24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件，波場回應稱，該合約安全問題出現在波場DApp上，與協議本身沒有任何關系，波場協議完全安全可靠。

Gate.io 上線 IOST 杠桿交易和幣幣理財服務:據官方消息，Gate.io已經開通IOST杠桿交易和理財服務。

用戶可以通過借入IOST的方式做空，或者通過借入USDT的方式做多。希望長期持有IOST的用戶也可以通過借出IOST的方式進行理財。[2021/3/9 18:27:55]

波場創始人孫宇晨在社交媒體中也表達了類似觀點，表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導，提升DApp的安全性。

針對此次假幣攻擊事件，我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到，攻擊事件產生的根本原因是合約代碼問題：TronBank的BTT投資產品高度復制了TRX投資產品的代碼，但無法判斷用戶投資的代幣是真BTT，還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機，提醒TRON合約開發者警惕假幣攻擊安全風險。

一、DApp專家：實際被盜數量大于1.7億枚

據Dappreview創始人牛鳳軒透露，TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

HBTC霍比特即將上線 NEST/BTC、NEST/ETH交易對:據HBTC霍比特（原BHEX交易所）官方消息，為滿足用戶更多交易需求，HBTC霍比特交易所將于新加坡時間5月21日18：00上線NEST/BTC，NEST/ETH交易對。

HBTC霍比特由火幣、OKEx等56家資本共同投資，是行業首家推出100%準備金制度的交易所，以保證用戶資產安全、可信交易、平臺運營透明。

NESTProtocol是基于以太坊網絡開發的去中心化價格預言機網絡。NEST通過礦工雙向報價的方式將鏈下市場的價格同步產生于鏈上，并結合NEST報價挖礦機制，將鏈下價格同步在鏈上生成出來，形成NEST價格預言機。[2020/5/21]

至于為何1.7億枚BTT被盜，他將根本原因歸結為合約代碼問題：BTT投資產品高度復制了TRX投資產品的代碼，卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

牛鳳軒提供了兩個投資產品的代碼對比圖，圖左為BTT投資產品代碼。通過對比，可見除第26行之后的代碼存在差異外，其余代碼幾乎一樣。

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數，無法判斷用戶投資的代幣是真BTT，還是假BTT。黑客顯然已經意識到了這個漏洞。

金色相對論 | 邵建良：新礦機或推遲上線 云算力適用于當下:在本期金色相對論中，嘉楠科技區塊鏈總經理邵建良發言指出：前段時間CoinShares發布了最新報告，全球65%的算力由中國礦工提供。這兩周算力的不升反降正是受疫情的影響導致國內大部分礦場的新礦機不能按時上線。然而，近期市場企穩回升，比特幣鏈上交易屢破新高，難度值作為其中的一個重要參數來動態的平衡區塊的生成速度，直接使挖礦的困難程度大幅上升。

推遲新礦機的上線可能性比較大，這對于現在想入場或者追加投資的礦工來說有一定的難度，不過云算力卻是個相對不錯的選擇，非實體、不受物流限制等特性，特別適用于當下。[2020/2/13]

據牛鳳軒介紹，用戶在TronBank的收益主要有兩個來源，一是投資收益，隨時可以提取，二是用戶推薦返利，返利金額為投資數額的5%。這兩個收益來源，正是黑客盜走BTT的通道。

他同時提到，在發現該攻擊后，Dappreview團隊第一時間進行了分析，發現黑客是同時用4個小號進行假幣攻擊。針對這一情況，他們隨即反饋給項目方，后者雖在社群中提醒用戶不要再繼續投資，但并沒有及時關閉頁面，仍有不明真相的群眾進入投資，而他們投入的BTT同樣會被黑客提走。因此，牛鳳軒判斷，實際被盜的BTT數量大于1.7億枚。

動態 | 廣州南沙區疫情防控協同系統上線 運用區塊鏈等信息化技術:金色財經報道，記者從廣州南沙區科工信局獲悉，為全力應對疫情，南沙區疫情防控協同系統于2月2日正式上線運營。該系統基于“南沙城市大腦”，運用區塊鏈等信息化技術，匯總整合疫情重點關注人員、最新疫情數據、資源調度等各類防疫信息，打通各部門的“數據煙囪”，著力打造統一的疫情防控指揮中心。隨著區內企業陸續復工，南沙區將通過該系統的企業復工管理功能引導加強人員防控，依托區塊鏈技術，促使企業如實填報防疫信息，助推防疫工作實現信息化管理。[2020/2/4]

令牛鳳軒感到遺憾的是，項目方直到4月11日上午10:15才關閉網站頁面，并表示將對損失的BTT部分全額進行賠付。

談及該解決方案，牛鳳軒補充了一個信息：TronBank項目的TRX投資產品上線運行近一個月，總計用戶投資金額約4.4億TRX，其中項目方抽成總計6%，共2640萬TRX，約500萬人民幣。

由此可以推斷，項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家：主要過失在于項目方

針對此次攻擊事件，我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

動態 | 58集團首款區塊鏈應用《神奇江湖》上線 構建可信賴的價值傳遞社區:近日，58集團推出首款區塊鏈微信小程序《神奇江湖》，利用區塊鏈技術，在江湖中直聯商家和用戶，搭建價值傳播網絡，充分保護用戶互聯網權益的同時，讓用戶和商家共同參與江湖價值分配建設。這款具有分布式特性的區塊鏈應用，在幫助用戶發掘自身行為價值的同時，還可以滿足用戶“行走江湖”的各種需求，構建起可信賴的價值傳遞社區。[2018/9/17]

蔣旭憲表示，黑客采用的是假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。

PeckShield認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全，這主要跟開發者有關，因此提醒TRON合約開發者警惕此類安全風險。

TronBank官網截圖

楊霞進一步補充道，假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶，造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯，擾亂了正常交易秩序。

在她看來，假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗，錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件，楊霞提到了2點：

1、項目方應事先進行安全審計，提前做好預防措施，即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后，項目方應立刻響應，暫時停止業務，排查問題并修復，之后追查損失資金流向，盡量追回損失。

與此同時，成都鏈安發布了安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場，波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊，攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試，尋找安全防護較為薄弱的合約，此階段后，攻擊者可能更進一步深度挖掘波場本身可能被利用的機制，進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上，假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出，假幣攻擊手法在EOS中已經出現，比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS，并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD，最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。最后由其他賬戶賣出以上代幣，獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是，黑客創建了一種基于EOS的代幣，并將其命名為「EOS」，并向被攻擊合約賬號大量轉賬假EOS代幣，沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的，進而調用了合約中的transfer函數，按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少，并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」，暴跌99％

據IMEOS消息，2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊，并且遇到大量砸盤。

EETH12日16時上線后，在17時遭到假幣攻擊。受此影響，EETH短時間暴跌99%。

2、NEWDEX兩度被黑，損失5.9萬美元

2018年9月19日，據thenextweb消息，「假幣攻擊」發起者創造了一種全新的EOS代幣，并將該假幣名為「EOS」，發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后，攻擊者將假幣沖進NEWDEX交易所，并掛出大額買單，用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露，攻擊者拿到了4028個EOS。9月14日，Newdex再次遭到黑客攻擊，黑客依然利用假幣攻擊在交易所換取真幣，共計獲利11803個EOS，價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日，EOSBet也遭到了類似的黑客攻擊，共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日，EOSBet遭受黑客利用假幣套用真幣，未投注就獲得42000個EOS大獎。第三次發生在9月14日，EOSBet遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月15日，EOS游戲EOS.Win也遭受了黑客假幣攻擊，共計損失超過4000個EOS。

當然，這僅僅是假幣攻擊事件的一部分，黑客早已將假幣攻擊當做斂財工具，這無疑對廣大開發者提出了更高的安全要求。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

火星財經

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627173.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

少寫一行代碼的教訓：TronBank1.7億BTT僅3小時就被洗劫一空

下一篇：

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布，本體與成都鏈安保障智能合約安全

Tags：EOSBTTAPPDAPEOSTHBTTWrapped LUNA TokenDAPSW幣

ADA