新聞來源連結:
https://www.blocktempo.com/tron-dapp-tronbank-was-fishing-170mln-btt
波場 Dapp TronBank 遭到假幣攻擊,於一小時之內遭竊約 1.7 億顆 BTT
DappReview 的數據監測,波場 Dapp TronBank 在 4 月 11 日凌晨遭到假幣攻擊,在 1
小時之內,遭竊約 1.7 億顆 BTT,截至截稿為止,BTT 代幣價格為 0.000725,遭竊的
BTT 約價值 123,250 美元。
悉,駭客創造了名為 BTTx 的假幣,而 TronBank 的「invest 函數」只判斷
msg.tokenvalue,而沒有判斷 msg.tokenid 是否為真的 BTT ID:1002000。因此駭客拿
到了真正 BTT 投資回報和推薦獎勵,迅速掏空資金池。
備註:BTT ID:1002000 ;BTTx ID:1002278。
根據成都鏈安技術團隊的分析,駭客攻擊流程如下:
1. 駭客在 4 月 11 日凌晨創建發行 990,000,000,000,000,000 顆 BTTx 的假幣(ID:
1002278)
2. 接著,將假幣 BTTx 發送給 4 個攻擊帳號。
3. 攻擊帳號收到假幣 BTTx 之後,駭客調用了有缺陷的 invest 函數。
4. TronBank 項目方將大量的 BTT 轉入了預先設置的投資帳號 TPK、TT4、TGD,
這時候這筆資金尚未被駭客得到。
5. 接下來,駭客觸發 invest 函數後,通過 withdraw 函數取得了 TronBank 獎勵池中
真正的 BTT 代幣。
而事情發生以後,TronBank 項目方在 4 月 11 日早上的 10:15 關閉了 BTT 的服務頁
面,並在上面表示會針對損失進行全額賠償:
為保證 TronBank 社區用戶利益,截至新加坡時間 4 月 11 日 10點 15 分前,
TronBank BTT 玩家由於合約漏洞所遭受的損失,TronBank 將對損失的 BTT ,全額進行
賠償。」
https://i.imgur.com/uSzoqM9.png
而針對這個「假幣攻擊」,波場創辦人孫宇晨在社群平台上表示此次攻擊是 Dapp 的智能
合約本身就有漏洞,跟波場沒有關係,波場的底層協議是完全安全的。
「波場 DAPP 出現的合約安全問題與波場協議本身沒有任何關係,波場協議是完全安全可
靠的。鏈上數字資產完全安全!未來我們將聯合安全企業和合作夥伴對開發者進行一定程
度的安全輔導,提升 DAPP 的安全性!」
https://i.imgur.com/f4Xm96Z.jpg
實際上類似攻擊手法在 EOS 中也曾出現過,例如去年 9 月運行於 EOS 區塊鏈的去中心
化交易所 Newdex 的假 EOS 事件:攻擊者預先在 EOS 帳戶中發行假的 EOS,並由實施攻
擊的帳戶使用假 EOS 掛單買入其他代幣,再由其他帳戶賣出代幣,共詐取 4028 個 EOS
。
而針對此次攻擊事件,據火星財經報導,Prehshield 創始人蔣旭憲表示這是項目方的責
任,這是一種新型、具有廣泛性危害的漏洞,會危害多個 Dapp 的安全性,這與開發者有
關,因此相關合約開發者應該予以警惕。
評論:
因為Pcash可以進行公開交易,還是講一下。
無論是ETH還是TRX, EOS, BCH的代幣都一樣,
直接看代號縮寫是不準的,連我的metamask都有同縮寫的代幣JOY
https://i.imgur.com/nq1mHsw.png
因為代幣創建並沒有限制名稱不能一樣,所以實際上可以完全照抄別人的。
代幣要直接認token ID,像這兩個JOY就有不同的Contract地址
https://etherscan.io/address/0xdde12a12a6f67156e0da672be05c374e1b0a3e57
https://etherscan.io/address/0xb8f5c0adc04ebbf0f40866c48959578aa9d86f8a
Pcash ID: 1defd3975a2d0196272cdfc308ce80d1381686ed6f613e03538a60f163bb058e
http://tinyurl.com/y3vltytv
確定ID是對的之後,可再記下圖示。假如之後有收到圖示不一樣的幣,就是假幣。
https://i.imgur.com/2pSlDnT.png