EOS:上線 3 小時即被盜走 1.7 億 BTT：TronBank 未審計代碼致假幣攻擊_APP

據DappReview監測，波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT。針對此次攻擊事件，成都鏈安發布安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場。

原文標題：《波場DApp超1.7億BTT被盜，官方回應：與協議本身沒任何關系》作者：文學、孫曜

監測顯示，黑客創建了名為BTTx的假幣向合約發起「invest」函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。

事件發生后，TronBank項目方于4月11日上午10:15關閉了BTT服務頁面，并表示會對損失的BTT部分全額進行賠付。

受此次攻擊事件影響，TRX和BTT雙雙下跌，截止發稿時，TRX火幣報價0.027025美元，24小時跌10.64%，BTT火幣報價0.000715美元，24小時跌6.04%。

針對DAppTronBank因「假幣攻擊」而損失1.7億BTT的事件，波場回應稱，該合約安全問題出現在波場DApp上，與協議本身沒有任何關系，波場協議完全安全可靠。

LBank藍貝殼于5月13日21:00上線 AQUAGOAT，開放USDT交易:據官方公告，5月13日21:00，LBank藍貝殼（LBank.me）上線AQUAGOAT(AquaGoat)，開放USDT交易，5月13日15:00開放充值，5月15日15:00開放提現。

資料顯示，AquaGoat的發行總量為100,000,000,000,000,000,000枚，是下一代生態DeFi代幣，其目的是，保護我們的海洋。每筆交易的一部分將發送到AquaGoat“海洋藍基金”，該基金用于資助海洋清潔和海洋保護計劃。[2021/5/13 21:58:00]

波場創始人孫宇晨在社交媒體中也表達了類似觀點，表示未來波場會聯合安全企業與合作伙伴對開發者進行合約安全輔導，提升DApp的安全性。

針對此次假幣攻擊事件，我們采訪了DappReview創始人牛鳳軒、PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

牛鳳軒提到，攻擊事件產生的根本原因是合約代碼問題：TronBank的BTT投資產品高度復制了TRX投資產品的代碼，但無法判斷用戶投資的代幣是真BTT，還是假BTT。

蔣旭憲和楊霞同樣認為項目方的疏忽給黑客以可乘之機，提醒TRON合約開發者警惕假幣攻擊安全風險。

ENJ上線 Huobi上漲67.22%:據Huobi行情顯示，Huobi Global“創新區”已于2021年3月15日15:00開放ENJ(Enjin) 幣幣交易。截至15:30，ENJ最高漲至3.08USDT，最高上漲67.22%，現報價為2.76USDT，上漲49.76%。同時Huobi還開啟ENJ新幣活動，活動期間，從外部地址向平臺成功充值ENJ的用戶，將按照凈充值（充值-提現）數量瓜分總計4.3萬ENJ代幣獎勵。

此外，3月16日20:00 起，用戶可在Huobi 挖礦寶參與ENJ靈活挖礦，鎖倉資產支持靈活存取、即時到賬。活動所得獎勵為鎖定幣種。每日挖礦獎勵自動發放至挖礦寶賬戶。[2021/3/15 18:45:48]

一、DApp專家：實際被盜數量大于1.7億枚

據Dappreview創始人牛鳳軒透露，TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。

至于為何1.7億枚BTT被盜，他將根本原因歸結為合約代碼問題：BTT投資產品高度復制了TRX投資產品的代碼，卻沒有判斷發送者的代幣id是否與BTT真幣的id1002000一致。

火幣全球觀察區上線 YFV和YAMV2:據官網公告，火幣全球站“全球觀察區”將于9月1日16:00 開放 YFV (YFValue) 幣幣交易，17:30 開放YAMV2 (YAMv2)幣幣交易。目前火幣已開放YFV和YAMV2的充幣業務。

據悉，火幣全球站為深入挖掘高潛項目，聚焦行業優質資源，在“主板”區域內全新設立“全球觀察區”，并引入單幣種持倉限額制度。[2020/9/1]

牛鳳軒提供了兩個投資產品的代碼對比圖，圖左為BTT投資產品代碼。通過對比，可見除第26行之后的代碼存在差異外，其余代碼幾乎一樣。

但最致命的是BTT投資產品代碼沒有增加額外的判斷函數，無法判斷用戶投資的代幣是真BTT，還是假BTT。黑客顯然已經意識到了這個漏洞。

據牛鳳軒介紹，用戶在TronBank的收益主要有兩個來源，一是投資收益，隨時可以提取，二是用戶推薦返利，返利金額為投資數額的5%。這兩個收益來源，正是黑客盜走BTT的通道。

他同時提到，在發現該攻擊后，Dappreview團隊第一時間進行了分析，發現黑客是同時用4個小號進行假幣攻擊。針對這一情況，他們隨即反饋給項目方，后者雖在社群中提醒用戶不要再繼續投資，但并沒有及時關閉頁面，仍有不明真相的群眾進入投資，而他們投入的BTT同樣會被黑客提走。因此，牛鳳軒判斷，實際被盜的BTT數量大于1.7億枚。

行情 | ABC幣安交易對上線 五分鐘振幅超70美元:11月16日消息，今日下午16:00，幣安正式上線BCH分叉幣BCHABC及BCHSV交易對，上線五分鐘內振幅超70美元，目前BCHABC于300美元附近震蕩，BCHSV于90美元附近震蕩，行情波動較大，請做好風險控制。[2018/11/16]

令牛鳳軒感到遺憾的是，項目方直到4月11日上午10:15才關閉網站頁面，并表示將對損失的BTT部分全額進行賠付。

談及該解決方案，牛鳳軒補充了一個信息：TronBank項目的TRX投資產品上線運行近一個月，總計用戶投資金額約4.4億TRX，其中項目方抽成總計6%，共2640萬TRX，約500萬人民幣。

由此可以推斷，項目方此前的營收完全可以承擔此次BTT賠付。

二、區塊鏈安全專家：主要過失在于項目方

針對此次攻擊事件，我們聯系了PeckShield創始人蔣旭憲和成都鏈安創始人楊霞。

蔣旭憲表示，黑客采用的是假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。

PeckShield認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全，這主要跟開發者有關，因此提醒TRON合約開發者警惕此類安全風險。

動態 | Eosgo.io 上線 EOS 數字貨幣市場實時監測:據 IMEOS 報道，Eosgo.io 上線 EOS 數字貨幣市場監控，實時計算 coin 和 token 通脹。在該網站 EOS 市場監測中，EOS 市值為 54 億美元，而Coin Market Cap 的數據則為 48 億美元。EOS Go 認為，其他的網站，例如 coinmarketcap.com，沒有考慮實時轉化的所有 EOS，因此 EOS Market Cap（Eosgo.io）的數據是該領域最準確的市場監測。[2018/11/10]

TronBank官網截圖

楊霞進一步補充道，假幣攻擊指的是攻擊者通過發行與被攻擊代幣同名代幣等方式欺騙項目方或用戶，造成的危害主要是攻擊者在沒有付出任何代價的前提下執行了業務邏輯，擾亂了正常交易秩序。

在她看來，假幣攻擊的產生因素主要是項目方沒有做完整的代幣信息校驗，錯誤地將攻擊者的無價值假幣識別為真實的有價代幣。

至于該如何應對假幣攻擊事件，楊霞提到了2點：

1、項目方應事先進行安全審計，提前做好預防措施，即在合約中對交易的代幣信息做完整的校驗而不是單純通過名稱等不可靠信息判斷。2、假幣攻擊事件發生之后，項目方應立刻響應，暫時停止業務，排查問題并修復，之后追查損失資金流向，盡量追回損失。

與此同時，成都鏈安發布了安全預警：近期針對波場項目方的攻擊測試頻率開始上升并已造成實際損失，黑客團隊未來可能將攻擊重點轉向波場，波場公鏈的DApp市場高度繁榮但一直未曾遭到過EOS公鏈級別的高強度攻擊，攻擊者目前主要是將其他公鏈上已成熟的攻擊方式遷移到波場并進行大范圍攻擊測試，尋找安全防護較為薄弱的合約，此階段后，攻擊者可能更進一步深度挖掘波場本身可能被利用的機制，進行更高強度和威脅的攻擊。

三、假幣攻擊事件盤點

事實上，假幣攻擊事件在區塊鏈世界并不少見。

PeckShield創始人蔣旭憲指出，假幣攻擊手法在EOS中已經出現，比如2018年9月14日發生在Newdex的假EOS刷幣事件。攻擊者預先在EOS賬戶中發行假EOS，并由實施攻擊的賬戶使用假EOS掛單委托買入IPOS和ADD，最終分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。最后由其他賬戶賣出以上代幣，獲得4028個真實EOS。

PeckShield對假EOS攻擊原理的解釋是，黑客創建了一種基于EOS的代幣，并將其命名為「EOS」，并向被攻擊合約賬號大量轉賬假EOS代幣，沒有檢測EOS的發行方的合約會將假EOS轉賬視為真的，進而調用了合約中的transfer函數，按照開獎流程分配獎金。

這種「假EOS」攻擊方式的關鍵是合約函數中沒有檢測發行代幣的合約名。PeckShield表示「假EOS」漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少，并提供了自去年至今相關案例統計。

我們梳理了EOS合約上發生的假幣攻擊事件

1、比特派EETH遭受「假幣攻擊」，暴跌99％

據IMEOS消息，2018年12月12日下午4點在去中心化交易所NEWDEX上線的比特派EETH遭遇假幣攻擊，并且遇到大量砸盤。

EETH12日16時上線后，在17時遭到假幣攻擊。受此影響，EETH短時間暴跌99%。

2、NEWDEX兩度被黑，損失5.9萬美元

2018年9月19日，據thenextweb消息，「假幣攻擊」發起者創造了一種全新的EOS代幣，并將該假幣名為「EOS」，發起攻擊者的EOS賬戶oo1122334455總共發行了10億個EOS假幣。

經測試發現攻擊可行之后，攻擊者將假幣沖進NEWDEX交易所，并掛出大額買單，用11800個EOS假幣購買BLACK、IQ和ADD三種代幣。

據交易所Newdex透露，攻擊者拿到了4028個EOS。9月14日，Newdex再次遭到黑客攻擊，黑客依然利用假幣攻擊在交易所換取真幣，共計獲利11803個EOS，價值5.9萬美金。

3.EOSBet一個月內被攻擊3次

2018年9月10日，EOSBet也遭到了類似的黑客攻擊，共計損失4000個EOS。而該游戲在9月共遭到了三次黑客攻擊。

第二次發生在9月12日，EOSBet遭受黑客利用假幣套用真幣，未投注就獲得42000個EOS大獎。第三次發生在9月14日，EOSBet遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月15日，EOS游戲EOS.Win也遭受了黑客假幣攻擊，共計損失超過4000個EOS。

當然，這僅僅是假幣攻擊事件的一部分，黑客早已將假幣攻擊當做斂財工具，這無疑對廣大開發者提出了更高的安全要求。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

火星財經

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627173.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

少寫一行代碼的教訓：TronBank1.7億BTT僅3小時就被洗劫一空

下一篇：

以太坊后全球第二個形式化驗證平臺VaaS-ONT發布，本體與成都鏈安保障智能合約安全

Tags：EOSBTTBANAPPEOS Se7ensbtt幣有銷毀機制嗎banano數字人民幣app官方下載安卓官網

波場