新闻来源连结:
https://www.blocktempo.com/tron-dapp-tronbank-was-fishing-170mln-btt
波场 Dapp TronBank 遭到假币攻击,于一小时之内遭窃约 1.7 亿颗 BTT
DappReview 的数据监测,波场 Dapp TronBank 在 4 月 11 日凌晨遭到假币攻击,在 1
小时之内,遭窃约 1.7 亿颗 BTT,截至截稿为止,BTT 代币价格为 0.000725,遭窃的
BTT 约价值 123,250 美元。
悉,骇客创造了名为 BTTx 的假币,而 TronBank 的“invest 函数”只判断
msg.tokenvalue,而没有判断 msg.tokenid 是否为真的 BTT ID:1002000。因此骇客拿
到了真正 BTT 投资回报和推荐奖励,迅速掏空资金池。
备注:BTT ID:1002000 ;BTTx ID:1002278。
根据成都链安技术团队的分析,骇客攻击流程如下:
1. 骇客在 4 月 11 日凌晨创建发行 990,000,000,000,000,000 颗 BTTx 的假币(ID:
1002278)
2. 接着,将假币 BTTx 发送给 4 个攻击帐号。
3. 攻击帐号收到假币 BTTx 之后,骇客调用了有缺陷的 invest 函数。
4. TronBank 项目方将大量的 BTT 转入了预先设置的投资帐号 TPK、TT4、TGD,
这时候这笔资金尚未被骇客得到。
5. 接下来,骇客触发 invest 函数后,通过 withdraw 函数取得了 TronBank 奖励池中
真正的 BTT 代币。
而事情发生以后,TronBank 项目方在 4 月 11 日早上的 10:15 关闭了 BTT 的服务页
面,并在上面表示会针对损失进行全额赔偿:
为保证 TronBank 社区用户利益,截至新加坡时间 4 月 11 日 10点 15 分前,
TronBank BTT 玩家由于合约漏洞所遭受的损失,TronBank 将对损失的 BTT ,全额进行
赔偿。”
https://i.imgur.com/uSzoqM9.png
而针对这个“假币攻击”,波场创办人孙宇晨在社群平台上表示此次攻击是 Dapp 的智能
合约本身就有漏洞,跟波场没有关系,波场的底层协议是完全安全的。
“波场 DAPP 出现的合约安全问题与波场协议本身没有任何关系,波场协议是完全安全可
靠的。链上数字资产完全安全!未来我们将联合安全企业和合作伙伴对开发者进行一定程
度的安全辅导,提升 DAPP 的安全性!”
https://i.imgur.com/f4Xm96Z.jpg
实际上类似攻击手法在 EOS 中也曾出现过,例如去年 9 月运行于 EOS 区块链的去中心
化交易所 Newdex 的假 EOS 事件:攻击者预先在 EOS 帐户中发行假的 EOS,并由实施攻
击的帐户使用假 EOS 挂单买入其他代币,再由其他帐户卖出代币,共诈取 4028 个 EOS
。
而针对此次攻击事件,据火星财经报导,Prehshield 创始人蒋旭宪表示这是项目方的责
任,这是一种新型、具有广泛性危害的漏洞,会危害多个 Dapp 的安全性,这与开发者有
关,因此相关合约开发者应该予以警惕。
评论:
因为Pcash可以进行公开交易,还是讲一下。
无论是ETH还是TRX, EOS, BCH的代币都一样,
直接看代号缩写是不准的,连我的metamask都有同缩写的代币JOY
https://i.imgur.com/nq1mHsw.png
因为代币创建并没有限制名称不能一样,所以实际上可以完全照抄别人的。
代币要直接认token ID,像这两个JOY就有不同的Contract地址
https://etherscan.io/address/0xdde12a12a6f67156e0da672be05c374e1b0a3e57
https://etherscan.io/address/0xb8f5c0adc04ebbf0f40866c48959578aa9d86f8a
Pcash ID: 1defd3975a2d0196272cdfc308ce80d1381686ed6f613e03538a60f163bb058e
http://tinyurl.com/y3vltytv
确定ID是对的之后,可再记下图示。假如之后有收到图示不一样的币,就是假币。
https://i.imgur.com/2pSlDnT.png