EOS:上线 3 小时即被盗走 1.7 亿 BTT：TronBank 未审计代码致假币攻击

据DappReview监测，波场DAppTronBank于4月11日凌晨1点遭到假币攻击，1小时内被盗走约1.7亿枚BTT。针对此次攻击事件，成都链安发布安全预警：近期针对波场项目方的攻击测试频率开始上升并已造成实际损失，黑客团队未来可能将攻击重点转向波场。

原文标题：《波场DApp超1.7亿BTT被盗，官方回应：与协议本身没任何关系》作者：文学、孙曜

监测显示，黑客创建了名为BTTx的假币向合约发起「invest」函数，而合约并没有判定发送者的代币id是否与BTT真币的id1002000一致。因此黑客拿到真币BTT的投资回报和推荐奖励，以此方式迅速掏空资金池。

事件发生后，TronBank项目方于4月11日上午10:15关闭了BTT服务页面，并表示会对损失的BTT部分全额进行赔付。

受此次攻击事件影响，TRX和BTT双双下跌，截止发稿时，TRX火币报价0.027025美元，24小时跌10.64%，BTT火币报价0.000715美元，24小时跌6.04%。

针对DAppTronBank因「假币攻击」而损失1.7亿BTT的事件，波场回应称，该合约安全问题出现在波场DApp上，与协议本身没有任何关系，波场协议完全安全可靠。

以太坊隐私 Layer2 解决方案 Aztec 因故障延期上线 Aztec Connect:6月10日消息，以太坊隐私 Layer2 解决方案 Aztec 发推表示，原计划使用 Open Ethereum 发送大量 rollup，因为它具有更高的交易大小限制，但是在主网以太坊上发送大笔交易并不成功。随后团队转向使用 Flashbots，一种支持更大交易规模的 Geth 分叉，鉴于通过 Flashbots 发送交易的变化出现了一些初期问题，即 PR 中存在格式错误，导致 Flashbots 交易失败。

目前，团队已经确定了一个简单的修复方法，决定暂停上线并正在努力设定新的时间表。[2022/6/10 23:05:59]

波场创始人孙宇晨在社交媒体中也表达了类似观点，表示未来波场会联合安全企业与合作伙伴对开发者进行合约安全辅导，提升DApp的安全性。

针对此次假币攻击事件，我们采访了DappReview创始人牛凤轩、PeckShield创始人蒋旭宪和成都链安创始人杨霞。

牛凤轩提到，攻击事件产生的根本原因是合约代码问题：TronBank的BTT投资产品高度复制了TRX投资产品的代码，但无法判断用户投资的代币是真BTT，还是假BTT。

Gate.io将于今日18点上线 Startup首发项目LOCG交易:据官方公告，Gate.io将于5月3日（今日）18:00上线 Startup首发项目Legends of Crypto (LOCG) 交易。风险提示：请务必注意价格变化，提前调整市场挂单，切勿追高。[2021/5/3 21:19:40]

蒋旭宪和杨霞同样认为项目方的疏忽给黑客以可乘之机，提醒TRON合约开发者警惕假币攻击安全风险。

一、DApp专家：实际被盗数量大于1.7亿枚

据Dappreview创始人牛凤轩透露，TronBank的BTT投资产品于4月10日晚10点正式开放，仅三小时内总投资额超过2亿枚BTT，此前该项目的TRX投资产品最高资金池余额超过2.6亿枚TRX。

至于为何1.7亿枚BTT被盗，他将根本原因归结为合约代码问题：BTT投资产品高度复制了TRX投资产品的代码，却没有判断发送者的代币id是否与BTT真币的id1002000一致。

牛凤轩提供了两个投资产品的代码对比图，图左为BTT投资产品代码。通过对比，可见除第26行之后的代码存在差异外，其余代码几乎一样。

但最致命的是BTT投资产品代码没有增加额外的判断函数，无法判断用户投资的代币是真BTT，还是假BTT。黑客显然已经意识到了这个漏洞。

ACE上线 KuCoin (库币) ，开盘上涨77%:据 KuCoin (库币) 交易所消息，KuCoin 已上线 ACENT (ACE)项目并支持交易对ACE/USDT 。ACE开盘价为0.05USDT，当前报价0.0885USDT，上线涨幅77%。 ACENT为亚太地区用户提供首个基于Web 3.0区块链浏览器服务，其主要产品是Osiris Web浏览器，为用户提供最轻松、便利和安全的体验。

以“全民的交易所”著称， KuCoin (库币) 旨在发掘全球优质区块链项目，为来自207个国家的800万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/4/30 21:14:21]

据牛凤轩介绍，用户在TronBank的收益主要有两个来源，一是投资收益，随时可以提取，二是用户推荐返利，返利金额为投资数额的5%。这两个收益来源，正是黑客盗走BTT的通道。

他同时提到，在发现该攻击后，Dappreview团队第一时间进行了分析，发现黑客是同时用4个小号进行假币攻击。针对这一情况，他们随即反馈给项目方，后者虽在社群中提醒用户不要再继续投资，但并没有及时关闭页面，仍有不明真相的群众进入投资，而他们投入的BTT同样会被黑客提走。因此，牛凤轩判断，实际被盗的BTT数量大于1.7亿枚。

聚币Jubi上线 “存币即挖矿” 产品:据官方消息，聚币Jubi已于2020年11月11日（UTC+8）全面开启存币挖矿，平台将每日币币交易手续费的20%作为挖矿奖励，并根据用户持仓算力发放奖励，用户存入币即可获得挖矿收益。用户每日获得的挖矿奖励跟存入币种的权重、价格及存入数量相关，存1日也可得获得挖矿奖励。具体规则见聚币官网公告。

聚币Jubi将及时满足广大用户的投资需求，陆续推出满足市场需求的创新金融产品，并力求在数字资产金融模式上不断创新。[2020/11/11 12:20:22]

令牛凤轩感到遗憾的是，项目方直到4月11日上午10:15才关闭网站页面，并表示将对损失的BTT部分全额进行赔付。

谈及该解决方案，牛凤轩补充了一个信息：TronBank项目的TRX投资产品上线运行近一个月，总计用户投资金额约4.4亿TRX，其中项目方抽成总计6%，共2640万TRX，约500万人民币。

由此可以推断，项目方此前的营收完全可以承担此次BTT赔付。

二、区块链安全专家：主要过失在于项目方

针对此次攻击事件，我们联系了PeckShield创始人蒋旭宪和成都链安创始人杨霞。

蒋旭宪表示，黑客采用的是假币攻击方式，通过调用BTTBank智能合约的invest函数，之后调用多次withdraw函数取出BTT真币。

VeChain主网6月底上线 以太坊上VET目前流通量61%:VeChain主网VeChainThor六月底将上线，主网代币VET将根据目前总量按1:100拆分。根据VeChain发布的第3季度（2月-4月）财务报告显示，截至4月30日，以太坊ERC20 VET的总供应量约8.67亿，VET目前流通量61%，比上季度报告的比例高出约2%。[2018/6/10]

PeckShield认为，这是继TransferMint漏洞之后，一种新型的具有广泛性危害的漏洞，会威胁到多个类似DApp合约的安全，这主要跟开发者有关，因此提醒TRON合约开发者警惕此类安全风险。

TronBank官网截图

杨霞进一步补充道，假币攻击指的是攻击者通过发行与被攻击代币同名代币等方式项目方或用户，造成的危害主要是攻击者在没有付出任何代价的前提下执行了业务逻辑，扰乱了正常交易秩序。

在她看来，假币攻击的产生因素主要是项目方没有做完整的代币信息校验，错误地将攻击者的无价值假币识别为真实的有价代币。

至于该如何应对假币攻击事件，杨霞提到了2点：

1、项目方应事先进行安全审计，提前做好预防措施，即在合约中对交易的代币信息做完整的校验而不是单纯通过名称等不可靠信息判断。2、假币攻击事件发生之后，项目方应立刻响应，暂时停止业务，排查问题并修复，之后追查损失资金流向，尽量追回损失。

与此同时，成都链安发布了安全预警：近期针对波场项目方的攻击测试频率开始上升并已造成实际损失，黑客团队未来可能将攻击重点转向波场，波场公链的DApp市场高度繁荣但一直未曾遭到过EOS公链级别的高强度攻击，攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试，寻找安全防护较为薄弱的合约，此阶段后，攻击者可能更进一步深度挖掘波场本身可能被利用的机制，进行更高强度和威胁的攻击。

三、假币攻击事件盘点

事实上，假币攻击事件在区块链世界并不少见。

PeckShield创始人蒋旭宪指出，假币攻击手法在EOS中已经出现，比如2018年9月14日发生在Newdex的假EOS刷币事件。攻击者预先在EOS账户中发行假EOS，并由实施攻击的账户使用假EOS挂单委托买入IPOS和ADD，最终分多笔共11800假EOS挂市价单购买BLACK、IQ、ADD，且全部成交。最后由其他账户卖出以上代币，获得4028个真实EOS。

PeckShield对假EOS攻击原理的解释是，黑客创建了一种基于EOS的代币，并将其命名为「EOS」，并向被攻击合约账号大量转账假EOS代币，没有检测EOS的发行方的合约会将假EOS转账视为真的，进而调用了合约中的transfer函数，按照开奖流程分配奖金。

这种「假EOS」攻击方式的关键是合约函数中没有检测发行代币的合约名。PeckShield表示「假EOS」漏洞在10月份较为普遍，不过随着多数开发者合约开发趋于规范，类似攻击事件已经很少，并提供了自去年至今相关案例统计。

我们梳理了EOS合约上发生的假币攻击事件

1、比特派EETH遭受「假币攻击」，暴跌99％

据IMEOS消息，2018年12月12日下午4点在去中心化交易所NEWDEX上线的比特派EETH遭遇假币攻击，并且遇到大量砸盘。

EETH12日16时上线后，在17时遭到假币攻击。受此影响，EETH短时间暴跌99%。

2、NEWDEX两度被黑，损失5.9万美元

2018年9月19日，据thenextweb消息，「假币攻击」发起者创造了一种全新的EOS代币，并将该假币名为「EOS」，发起攻击者的EOS账户oo1122334455总共发行了10亿个EOS假币。

经测试发现攻击可行之后，攻击者将假币冲进NEWDEX交易所，并挂出大额买单，用11800个EOS假币购买BLACK、IQ和ADD三种代币。

据交易所Newdex透露，攻击者拿到了4028个EOS。9月14日，Newdex再次遭到黑客攻击，黑客依然利用假币攻击在交易所换取真币，共计获利11803个EOS，价值5.9万美金。

3.EOSBet一个月内被攻击3次

2018年9月10日，EOSBet也遭到了类似的黑客攻击，共计损失4000个EOS。而该游戏在9月共遭到了三次黑客攻击。

第二次发生在9月12日，EOSBet遭受黑客利用假币套用真币，未投注就获得42000个EOS大奖。第三次发生在9月14日，EOSBet遭黑客「假通知」攻击，损失145321个EOS，目前损失已被追回。

9月15日，EOS游戏EOS.Win也遭受了黑客假币攻击，共计损失超过4000个EOS。

当然，这仅仅是假币攻击事件的一部分，黑客早已将假币攻击当做敛财工具，这无疑对广大开发者提出了更高的安全要求。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

火星财经

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627173.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

少写一行代码的教训：TronBank1.7亿BTT仅3小时就被洗劫一空

下一篇：

以太坊后全球第二个形式化验证平台VaaS-ONT发布，本体与成都链安保障智能合约安全

标签：EOSBTTAPPDAPEOSevenbtt币能否涨10000倍元宇宙app官方版下载苹果手机dapp币在哪个交易所

SAND热门资讯