DappReview 的數據監測,波場 Dapp TronBank 在 4 月 11 日凌晨遭到假幣攻擊,在 1 小時之內,遭竊約 1.7 億顆 BTT,截至截稿為止,BTT 代幣價格為 0.000725,遭竊的 BTT 約價值 123,250 美元。
據悉,駭客創造了名為 BTTx 的假幣,而 TronBank 的「invest 函數」只判斷 msg.tokenvalue,而沒有判斷 msg.tokenid 是否為真的 BTT ID:1002000。因此駭客拿到了真正 BTT 投資回報和推薦獎勵,迅速掏空資金池。
備註:BTT ID:1002000 ;BTTx ID:1002278。
根據成都鏈安技術團隊的分析,駭客攻擊流程如下:
- 駭客在 4 月 11 日凌晨創建發行 990,000,000,000,000,000 顆 BTTx 的假幣(ID:1002278)
- 接著,將假幣 BTTx 發送給 4 個攻擊帳號。
- 攻擊帳號收到假幣 BTTx 之後,駭客調用了有缺陷的 invest 函數。
- TronBank 項目方將大量的 BTT 轉入了預先設置的投資帳號 TPK、TT4、TGD,這時候這筆資金尚未被駭客得到。
- 接下來,駭客觸發 invest 函數後,通過 withdraw 函數取得了 TronBank 獎勵池中真正的 BTT 代幣。
而事情發生以後,TronBank 項目方在 4 月 11 日早上的 10:15 關閉了 BTT 的服務頁面,並在上面表示會針對損失進行全額賠償:
「為保證 TronBank 社區用戶利益,截至新加坡時間 4 月 11 日 10點 15 分前,TronBank BTT 玩家由於合約漏洞所遭受的損失,TronBank 將對損失的 BTT ,全額進行賠償。」
而針對這個「假幣攻擊」,波場創辦人孫宇晨在社群平台上表示此次攻擊是 Dapp 的智能合約本身就有漏洞,跟波場沒有關係,波場的底層協議是完全安全的。
「波場 DAPP 出現的合約安全問題與波場協議本身沒有任何關係,波場協議是完全安全可靠的。鏈上數字資產完全安全!未來我們將聯合安全企業和合作夥伴對開發者進行一定程度的安全輔導,提升 DAPP 的安全性!」
實際上類似攻擊手法在 EOS 中也曾出現過,例如去年 9 月運行於 EOS 區塊鏈的去中心化交易所 Newdex 的假 EOS 事件:攻擊者預先在 EOS 帳戶中發行假的 EOS,並由實施攻擊的帳戶使用假 EOS 掛單買入其他代幣,再由其他帳戶賣出代幣,共詐取 4028 個 EOS。
而針對此次攻擊事件,據火星財經報導,Prehshield 創始人蔣旭憲表示這是項目方的責任,這是一種新型、具有廣泛性危害的漏洞,會危害多個 Dapp 的安全性,這與開發者有關,因此相關合約開發者應該予以警惕。
?相關報導?
區塊鏈大賭場?波場(Tron)主網有 64% 的去中心化應用(Dapp)與博弈有關
大撒幣博關注,Tron 創辦人孫宇晨向 Twitter 粉絲送出「兩台特斯拉」,行銷過程卻惹出爭議
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
