以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > Ethereum > Info

上線 3 小時即被盜走 1.7 億 BTT:TronBank 未審計代碼致假幣攻擊_EOS

Author:

Time:1900/1/1 0:00:00

據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT。針對此次攻擊事件,成都鏈安發布安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場。

原文標題:《波場DApp超1.7億BTT被盜,官方回應:與協議本身沒任何關系》作者:文學、孫曜

監測顯示,黑客創建了名為BTTx的假幣向合約發起「invest」函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。

事件發生后,TronBank項目方于4月11日上午10:15關閉了BTT服務頁面,并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響,TRX和BTT雙雙下跌,截止發稿時,TRX火幣報價0.027025美元,24小時跌10.64%,BTT火幣報價0.000715美元,24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件,波場回應稱,該合約安全問題出現在波場DApp上,與協議本身沒有任何關系,波場協議完全安全可靠。

庫幣合約已上線 RVN, MIR, MKR和DGB永續合約:據 KuCoin (庫幣) 交易所消息,庫幣合約已正式上線 Ravencoin (RVN), Mirror Protocol (MIR), Maker (MKR)和DigiByte (DGB)永續合約, 支持1-20倍杠桿, 均以USDT穩定幣結算。

庫幣合約是庫幣自主研發的數字貨幣衍生品平臺,全球排名前十。[2021/4/29 21:10:25]

波場創始人孫宇晨在社交媒體中也表達了類似觀點,表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導,提升DApp的安全性。

針對此次假幣攻擊事件,我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到,攻擊事件產生的根本原因是合約代碼問題:TronBank的BTT投資產品高度復制了TRX投資產品的代碼,但無法判斷用戶投資的代幣是真BTT,還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機,提醒TRON合約開發者警惕假幣攻擊安全風險。

一、DApp專家:實際被盜數量大于1.7億枚

據Dappreview創始人牛鳳軒透露,TronBank的BTT投資產品于4月10日晚10點正式開放,僅三小時內總投資額超過2億枚BTT,此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

LBank藍貝殼上線 FEI 和 TRIBE 代幣挖礦 DODO 活期理財活動:LBank 藍貝殼交易所已上線 FEI 和 TRIBE 單幣挖礦 DODO 活期理財活動,用戶可以登陸LBank.me 首頁余幣寶,點擊幣生息,即可零成本參與單幣 FEI 和 TRIBE 挖礦 DODO 的活動,最終將根據每日實際獲取數量分發到用戶賬戶。該活動將于4月11日結束。

此前,LBank 藍貝殼交易平臺通過代為用戶參與 FEI 的全球發行,共計超過2600個 ETH 通過平臺參與,讓用戶零手續費參與,并在結束后50分鐘即開通相關交易對,幫用戶降低成本,提升資金流轉效率。[2021/4/4 19:45:23]

至于為何1.7億枚BTT被盜,他將根本原因歸結為合約代碼問題:BTT投資產品高度復制了TRX投資產品的代碼,卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

牛鳳軒提供了兩個投資產品的代碼對比圖,圖左為BTT投資產品代碼。通過對比,可見除第26行之后的代碼存在差異外,其余代碼幾乎一樣。

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數,無法判斷用戶投資的代幣是真BTT,還是假BTT。黑客顯然已經意識到了這個漏洞。

LBank 3倍杠桿ETF上線 ADA、XRP、NEO、BSV交易對:LBank將于10月14日16:00(UTC+8) ETF杠桿專區上線ADA3L(3倍做多)、ADA3S(3倍做空)、XRP3L(3倍做多)、XRP3S(3倍做空)、NEO3L(3倍做多)、NEO3S(3倍做空)、BSV3L(3倍做多)、BSV3S(3倍做空)交易對。

杠桿ETF是LBank推出的永續杠桿產品,目前已上線幣種BTC、ETH、YFI、YFII、LINK、OMG、ATOM、COMP、DOT等30個幣,后續將陸續上線更多幣種的3倍多空交易。更多詳情請關注LBank官網公告。[2020/10/14]

據牛鳳軒介紹,用戶在TronBank的收益主要有兩個來源,一是投資收益,隨時可以提取,二是用戶推薦返利,返利金額為投資數額的5%。這兩個收益來源,正是黑客盜走BTT的通道。

他同時提到,在發現該攻擊后,Dappreview團隊第一時間進行了分析,發現黑客是同時用4個小號進行假幣攻擊。針對這一情況,他們隨即反饋給項目方,后者雖在社群中提醒用戶不要再繼續投資,但并沒有及時關閉頁面,仍有不明真相的群眾進入投資,而他們投入的BTT同樣會被黑客提走。因此,牛鳳軒判斷,實際被盜的BTT數量大于1.7億枚。

VeChain主網6月底上線 以太坊上VET目前流通量61%:VeChain主網VeChainThor六月底將上線,主網代幣VET將根據目前總量按1:100拆分。根據VeChain發布的第3季度(2月-4月)財務報告顯示,截至4月30日,以太坊ERC20 VET的總供應量約8.67億,VET目前流通量61%,比上季度報告的比例高出約2%。[2018/6/10]

令牛鳳軒感到遺憾的是,項目方直到4月11日上午10:15才關閉網站頁面,并表示將對損失的BTT部分全額進行賠付。

談及該解決方案,牛鳳軒補充了一個信息:TronBank項目的TRX投資產品上線運行近一個月,總計用戶投資金額約4.4億TRX,其中項目方抽成總計6%,共2640萬TRX,約500萬人民幣。

由此可以推斷,項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家:主要過失在于項目方

針對此次攻擊事件,我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

蔣旭憲表示,黑客采用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之后調用多次withdraw函數取出BTT真幣。

火幣HADAX將于4月23日14:30上線 Portal (PORTAL):火幣HADAX將于北京時間4月24日14:30開放 Portal (PORTAL)充值業務。4月25日14:00在HADAX開放PORTAL/BTC和PORTAL/ETH交易。4月26日14:30開放PORTAL提現業務。Portal旨在搭建一個基于區塊鏈技術的虛擬現實生態圈。[2018/4/24]

PeckShield認為,這是繼TransferMint漏洞之后,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全,這主要跟開發者有關,因此提醒TRON合約開發者警惕此類安全風險。

TronBank官網截圖

楊霞進一步補充道,假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶,造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯,擾亂了正常交易秩序。

在她看來,假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗,錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件,楊霞提到了2點:

1、項目方應事先進行安全審計,提前做好預防措施,即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后,項目方應立刻響應,暫時停止業務,排查問題并修復,之后追查損失資金流向,盡量追回損失。

與此同時,成都鏈安發布了安全預警:近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失,黑客團隊未來可能將攻擊重點轉向波場,波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊,攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試,尋找安全防護較為薄弱的合約,此階段后,攻擊者可能更進一步深度挖掘波場本身可能被利用的機制,進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上,假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出,假幣攻擊手法在EOS中已經出現,比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS,并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD,最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。最后由其他賬戶賣出以上代幣,獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是,黑客創建了一種基于EOS的代幣,并將其命名為「EOS」,并向被攻擊合約賬號大量轉賬假EOS代幣,沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少,并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」,暴跌99%

據IMEOS消息,2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊,并且遇到大量砸盤。

EETH12日16時上線后,在17時遭到假幣攻擊。受此影響,EETH短時間暴跌99%。

2、NEWDEX兩度被黑,損失5.9萬美元

2018年9月19日,據thenextweb消息,「假幣攻擊」發起者創造了一種全新的EOS代幣,并將該假幣名為「EOS」,發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后,攻擊者將假幣沖進NEWDEX交易所,并掛出大額買單,用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露,攻擊者拿到了4028個EOS。9月14日,Newdex再次遭到黑客攻擊,黑客依然利用假幣攻擊在交易所換取真幣,共計獲利11803個EOS,價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日,EOSBet也遭到了類似的黑客攻擊,共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日,EOSBet遭受黑客利用假幣套用真幣,未投注就獲得42000個EOS大獎。第三次發生在9月14日,EOSBet遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。

9月15日,EOS游戲EOS.Win也遭受了黑客假幣攻擊,共計損失超過4000個EOS。

當然,這僅僅是假幣攻擊事件的一部分,黑客早已將假幣攻擊當做斂財工具,這無疑對廣大開發者提出了更高的安全要求。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

火星財經

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627173.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

少寫一行代碼的教訓:TronBank1.7億BTT僅3小時就被洗劫一空

下一篇:

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布,本體與成都鏈安保障智能合約安全

Tags:EOSBTTBANBANKEOSADDPBTT幣Banana Tokenlbank交易所怎么樣

Ethereum
200萬gas一筆隱私交易 V神提案你接受嗎?_以太坊

金色財經比特幣5月24日訊以太坊區塊鏈網絡創始人“V神”VitalikButerin表示:“我們需要向更隱私的方向邁出第一步.

1900/1/1 0:00:00
萊特減產效應乍現 萊特幣漲至100美元以上_比特幣

今日美股重挫,在科技股拖累下納斯達克綜合指數下跌將近1.6%,美油最低下跌6%,10年期美債收益率最低下行8.5個基點.

1900/1/1 0:00:00
金色周報:趙長鵬反殺起訴紅杉資本 Facebook將于明年發幣_區塊鏈

5月26日金色周報區塊鏈、數字貨幣信息推薦閱讀《北京金融監管局局長:對打著區塊鏈旗號的非法金融活動采取零容忍的態度》、《FATF發布要求數字貨幣交易所執行KYC數據遷徙規運行則》、《趙長鵬:不得.

1900/1/1 0:00:00
QuadrigaCX 事件再次敲響「資產安全」的警鐘_QUA

原文標題:《創始人意外死亡私鑰丟失,交易所數億資產何去何從?》「創始人意外死亡私鑰丟失導致無法訪問冷錢包,法幣賬戶被銀行凍結導致用戶無法即時提現.

1900/1/1 0:00:00
堅持BTC是騙局的巴菲特,錯過了什么?_比特幣

巴菲特是比特幣知名“黑粉”,大家也都很清楚了,而且是從一而終的不喜歡比特幣。從比特幣誕生以來,有不少大佬從一開始認為比特幣是騙人的東西,但是后來改變看法覺得比特幣也不全然是騙人的,尤其是區塊鏈火.

1900/1/1 0:00:00
BitMEX 研究報告:BTC 閃電網絡的激勵機制與投資價值_BIT

BitMEX研究團隊此前曾對閃電網絡做過理論方面的深入研究。現在,隨著閃電網絡從抽象的概念轉入試驗,他們對這一熱點進行了再次審視.

1900/1/1 0:00:00
ads