APP
1467 0 1
  • RMB 928

    王陳之
    • 321
      帖子
    • 335
      评论
    • 10.37万
      源点
    波场 Dapp TronBank 遭到假币攻击,于一小时之内遭窃约 1.7 亿颗 BTT
    发表于4个月前 只看楼主 帖子标签:

    DappReview 的数据监测,波场 Dapp TronBank 在 4 月 11 日凌晨遭到假币攻击,在 1 小时之内,遭窃约 1.7 亿颗 BTT,截至截稿为止,BTT 代币价格为 0.000725,遭窃的 BTT 约价值 123,250 美元。

    悉,骇客创造了名为 BTTx 的假币,而 TronBank 的「invest 函数」只判断 msg.tokenvalue,而没有判断 msg.tokenid 是否为真的 BTT ID:1002000。因此骇客拿到了真正 BTT 投资回报和推荐奖励,迅速掏空资金池。

    备注:BTT ID:1002000 ;BTTx ID:1002278。

    根据成都链安技术团队的分析,骇客攻击流程如下:

    1. 骇客在 4 月 11 日凌晨创建发行 990,000,000,000,000,000 颗 BTTx 的假币(ID:1002278)
    2. 接着,将假币 BTTx 发送给 4 个攻击帐号。
    3. 攻击帐号收到假币 BTTx 之后,骇客调用了有缺陷的 invest 函数。
    4. TronBank 项目方将大量的 BTT 转入了预先设置的投资帐号 TPK、TT4、TGD,这时候这笔资金尚未被骇客得到。
    5. 接下来,骇客触发 invest 函数后,通过 withdraw 函数取得了 TronBank 奖励池中真正的 BTT 代币。

    而事情发生以后,TronBank 项目方在 4 月 11 日早上的 10:15 关闭了 BTT 的服务页面,并在上面表示会针对损失进行全额赔偿:

    「为保证 TronBank 社区用户利益,截至新加坡时间 4 月 11 日 10点 15 分前,TronBank BTT 玩家由于合约漏洞所遭受的损失,TronBank 将对损失的 BTT ,全额进行赔偿。」

    而针对这个「假币攻击」,波场创办人孙宇晨在社群平台上表示此次攻击是 Dapp 的智能合约本身就有漏洞,跟波场没有关系,波场的底层协议是完全安全的。

    「波场 DAPP 出现的合约安全问题与波场协议本身没有任何关系,波场协议是完全安全可靠的。链上数字资产完全安全!未来我们将联合安全企业和合作伙伴对开发者进行一定程度的安全辅导,提升 DAPP 的安全性!」

    实际上类似攻击手法在 EOS 中也曾出现过,例如去年 9 月运行于 EOS 区块链的去中心化交易所 Newdex 的假 EOS 事件:攻击者预先在 EOS 帐户中发行假的 EOS,并由实施攻击的帐户使用假 EOS 挂单买入其他代币,再由其他帐户卖出代币,共诈取 4028 个 EOS。

    而针对此次攻击事件,据火星财经报导,Prehshield 创始人蒋旭宪表示这是项目方的责任,这是一种新型、具有广泛性危害的漏洞,会危害多个 Dapp 的安全性,这与开发者有关,因此相关合约开发者应该予以警惕。

    楼主签名:千行万业,金融为王!
  • 2#

    RMB 79

    zhangrenk
    • 8
      帖子
    • 177
      评论
    • 8868
      源点

    见识了

    发表于4个月前
    0
添加评论 (需要登录)