EOS:上線 3 小時即被盜走 1.7 億 BTT：TronBank 未審計代碼致假幣攻擊_dapp幣在哪個交易所

據DappReview監測，波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。針對此次攻擊事件，成都鏈安發布安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

原文標題：《波場DApp超1.7億BTT被盜，官方回應：與協議本身沒任何關系》作者：文學、孫曜

監測顯示，黑客創建了名為BTTx的假幣向合約發起「invest」函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。

事件發生后，TronBank項目方于4月11日上午10:15關閉了BTT服務頁面，并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響，TRX和BTT雙雙下跌，截止發稿時，TRX火幣報價0.027025美元，24小時跌10.64%，BTT火幣報價0.000715美元，24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件，波場回應稱，該合約安全問題出現在波場DApp上，與協議本身沒有任何關系，波場協議完全安全可靠。

AnySwap 正式上線 Arbitrum One:去中心化跨鏈交易協議 AnySwap 的 Beta-mainnet V3 版本已正式上線以太坊擴容網絡 Arbitrum One ，支持本地兌換以及多鏈路由器，且多鏈路由器可在幾分鐘內完成快速提現和存款。此前 Anyswap 團隊已經在 Arbitrum 測試網上部署和測試了兩個多月。[2021/6/25 0:06:54]

波場創始人孫宇晨在社交媒體中也表達了類似觀點，表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導，提升DApp的安全性。

針對此次假幣攻擊事件，我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到，攻擊事件產生的根本原因是合約代碼問題：TronBank的BTT投資產品高度復制了TRX投資產品的代碼，但無法判斷用戶投資的代幣是真BTT，還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機，提醒TRON合約開發者警惕假幣攻擊安全風險。

一、DApp專家：實際被盜數量大于1.7億枚

據Dappreview創始人牛鳳軒透露，TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

Gate.io 即將首發上線 Startup 項目 DHV:據官方公告，Gate.io將于4月19日中午12:00至4月20日上午10:00上線Startup項目DeHive(DHV)并開啟認購通道，22小時內有效下單同等對待。用戶參與認購時需要達到VIP1和以上級別。用戶下單后到結束認購后2小時內，請務必保證現貨交易賬戶中有不低于認購金額的足夠金額，金額不足將自動排除在有效訂單之外。[2021/4/15 20:23:00]

至于為何1.7億枚BTT被盜，他將根本原因歸結為合約代碼問題：BTT投資產品高度復制了TRX投資產品的代碼，卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

牛鳳軒提供了兩個投資產品的代碼對比圖，圖左為BTT投資產品代碼。通過對比，可見除第26行之后的代碼存在差異外，其余代碼幾乎一樣。

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數，無法判斷用戶投資的代幣是真BTT，還是假BTT。黑客顯然已經意識到了這個漏洞。

據牛鳳軒介紹，用戶在TronBank的收益主要有兩個來源，一是投資收益，隨時可以提取，二是用戶推薦返利，返利金額為投資數額的5%。這兩個收益來源，正是黑客盜走BTT的通道。

AOFEX于4月4日上線 TRIBE（Tribe）:據官方消息，AOFEX交易所將于4月4日正式上線 TRIBE（Tribe），現已開放充提功能；并將于4月4日15:00（GMT+8）上線科創板并開放TRIBE/AQ、TRIBE/USDT交易區。Fei Protocol支持創建基于以太坊的去中心化、可擴展且公平的穩定幣。TRIBE是該協議的治理代幣。

AOFEX數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2021/4/4 19:44:47]

他同時提到，在發現該攻擊后，Dappreview團隊第一時間進行了分析，發現黑客是同時用4個小號進行假幣攻擊。針對這一情況，他們隨即反饋給項目方，后者雖在社群中提醒用戶不要再繼續投資，但并沒有及時關閉頁面，仍有不明真相的群眾進入投資，而他們投入的BTT同樣會被黑客提走。因此，牛鳳軒判斷，實際被盜的BTT數量大于1.7億枚。

令牛鳳軒感到遺憾的是，項目方直到4月11日上午10:15才關閉網站頁面，并表示將對損失的BTT部分全額進行賠付。

談及該解決方案，牛鳳軒補充了一個信息：TronBank項目的TRX投資產品上線運行近一個月，總計用戶投資金額約4.4億TRX，其中項目方抽成總計6%，共2640萬TRX，約500萬人民幣。

MXC抹茶現已上線 官方驗證通道，可甄別虛假宣傳:據官方公告，MXC抹茶現已上線官方驗證通道:，通過該通道，用戶可輸入所要查詢的“電話”“郵箱”“域名”等第三方信息是否為MXC抹茶官方渠道，以甄別借用MXC抹茶或MEXC全球站名義進行的網絡虛假宣傳和詐騙推銷活動。所有與MXC抹茶相關的活動、社群信息，務必以官方公告為準，以免造成資產損失。可在官網首頁右下角點擊官方驗證通道:，輸入所要查詢的“電話”、“郵箱”“域名”等第三方信息進行查詢，同時切勿向任何人透露郵箱、電話、谷歌驗證碼、賬戶密碼等個人信息，以免造成資產損失。[2021/2/5 19:01:10]

由此可以推斷，項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家：主要過失在于項目方

針對此次攻擊事件，我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

蔣旭憲表示，黑客采用的是假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。

PeckShield認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全，這主要跟開發者有關，因此提醒TRON合約開發者警惕此類安全風險。

BiKi流動性挖礦正式上線 首批支持項目發布:據BiKi公告，BiKi流動性挖礦已正式上線，開啟網格寶交易滿足條件即可獲得網格+流動性挖礦雙收益，一鍵雙挖。首批支持幣對：ODIN/USDT、UNI/USDT、UNII/USDT、DOT/USDT、FIL6/USDT、SUSHI/USDT、GHST/USDT、MEME/USDT；從9月23日起，平臺將拿出以上支持幣對的50%-100%幣幣交易手續費作為流動性挖礦獎勵池，活動期間，當用戶通過網格寶開啟以上任一幣對的網格交易，平臺將根據用戶提供流動性的占比每日挖礦產出收益，收益為基準貨幣，例如開啟ODIN/USDT幣對網格交易并滿足挖礦條件，則每日挖礦收益為ODIN。

BiKi流動性挖礦是一款為交易對提供流動性即可獲得網格+流動性挖礦獎勵的雙收益產品，與流動性挖礦項目不同之處在于：操作簡單、資金安全、掛單可見。通過BiKi APP開啟支持幣對網格交易即可自動進行流動性挖礦。[2020/9/23]

TronBank官網截圖

楊霞進一步補充道，假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶，造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯，擾亂了正常交易秩序。

在她看來，假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗，錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件，楊霞提到了2點：

1、項目方應事先進行安全審計，提前做好預防措施，即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后，項目方應立刻響應，暫時停止業務，排查問題并修復，之后追查損失資金流向，盡量追回損失。

與此同時，成都鏈安發布了安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場，波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊，攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試，尋找安全防護較為薄弱的合約，此階段后，攻擊者可能更進一步深度挖掘波場本身可能被利用的機制，進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上，假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出，假幣攻擊手法在EOS中已經出現，比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS，并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD，最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。最后由其他賬戶賣出以上代幣，獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是，黑客創建了一種基于EOS的代幣，并將其命名為「EOS」，并向被攻擊合約賬號大量轉賬假EOS代幣，沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的，進而調用了合約中的transfer函數，按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少，并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」，暴跌99％

據IMEOS消息，2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊，并且遇到大量砸盤。

EETH12日16時上線后，在17時遭到假幣攻擊。受此影響，EETH短時間暴跌99%。

2、NEWDEX兩度被黑，損失5.9萬美元

2018年9月19日，據thenextweb消息，「假幣攻擊」發起者創造了一種全新的EOS代幣，并將該假幣名為「EOS」，發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后，攻擊者將假幣沖進NEWDEX交易所，并掛出大額買單，用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露，攻擊者拿到了4028個EOS。9月14日，Newdex再次遭到黑客攻擊，黑客依然利用假幣攻擊在交易所換取真幣，共計獲利11803個EOS，價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日，EOSBet也遭到了類似的黑客攻擊，共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日，EOSBet遭受黑客利用假幣套用真幣，未投注就獲得42000個EOS大獎。第三次發生在9月14日，EOSBet遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月15日，EOS游戲EOS.Win也遭受了黑客假幣攻擊，共計損失超過4000個EOS。

當然，這僅僅是假幣攻擊事件的一部分，黑客早已將假幣攻擊當做斂財工具，這無疑對廣大開發者提出了更高的安全要求。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

火星財經

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627173.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

少寫一行代碼的教訓：TronBank1.7億BTT僅3小時就被洗劫一空

下一篇：

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布，本體與成都鏈安保障智能合約安全

Tags：EOSBTTAPPDAPPPoker EOSBTTOLDdapp幣在哪個交易所區塊鏈dapp開發白富美

PEPE