買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Ethereum > Info

RON:Discord深度挖掘還原,wojak究竟如何轉走2600萬TRX 的?_KRONE價格

Author:

Time:1900/1/1 0:00:00

隨著新一天的調查,更多證據被各方挖掘出來,本次事件的真相正在逐漸浮出水面,戲劇化程度堪比一場年度大戲。文末還附上了wojak的財富密碼。本文是TronBank被盜的續集,沒有讀過上一篇文章的讀者,請先移步閱讀《被盜1.7億BTT今又被盜2600萬TRX,TronBank在刻意埋藏后門?》

原文標題:《2600萬TRX被盜背后的羅生門——第二集》

作者:DR小伙伴

注:以下調查的信息收集全部來自于Discord頻道ScamWatch、Telegram群「TronBank抱團維權」,以及DappReview與關聯人的聊天記錄。

wojak反悔退款

自從5月3日晚上9點wojak出現并貼出一份退款對比名單之后,再次從Discord消失,在此期間很多人開始給wojak打上Scammer的標簽,并認為「他不會退款,可能已經開上蘭博基尼去度假了」,諸如此類言論不絕于耳。

5月5日中午12點

wojak再次現身,聲稱「我投入了8個小時寫工具來給所有人退款,等我寫完代碼回來發現大家都在把我想象成是一個騙子,而沒有意識到Tronbank才是放置后門坑了你們的人。你們原本會因此損失所有的投資。但在看到你們把我當成騙子而不是開發者后,我認為我沒有任何理由把TRX退還給你們」。

此番言論遭到眾人反駁,wojak堅持認為自己所做的事情并不違法,自己也不是小偷,只是發起了一筆交易調用了智能合約,并且遵守了智能合約的規則。此后,wojak再也沒有表示過退款的可能性,而是讓所有人去找Tronbank進行索賠。

KeplerHomes Discord賬戶被入侵:金色財經消息,據CertiK監測,KeplerHomes Discord賬戶被入侵,并在公告中發布了一個釣魚網站。請不要點擊該鏈接或與之互動。[2023/6/9 21:24:50]

證據開始指向TSC開發者Khanh

5月5日中午12點

在真相依舊處于眾說紛紜的迷霧之中時,telegram中某開發者發現了一條關鍵證據,進而扭轉了整個調查的方向,把更多的信息帶出水面。

TTX5N2wxLeyWBSNE6UeaBjCFZbpa2FH6jr該地址于4月28日部署了一個與事發TRXPro合約有同樣后門的「測試合約」,并在4月30日對后門進行了測試。

如上圖所示,TTX5N**該地址用同樣的方式發送了0.011911TRX調用withdraw函數,觸發后門,提走自己事先存入的約100TRX。

也就是說,在被盜時間約4天之前,竟然已經有人熟知此后門以及其調用方式。當我們去反編譯該測試合約并與TRXPro被盜合約對比時,不難發現:

反編譯工具:https://www.trustlook.com/products/smartcontractguardian

這兩段代碼的后門部分完全一致!

而且更為神奇的是,「測試合約」的部署時間比項目方部署的正式合約竟然早了5小時23分鐘。

毫無疑問,TTX5N**地址與本次后門事件必定脫不了關系。

而該地址的所有者是誰呢?

Move生態NFT AMM項目Mobius確認Discord遭黑客入侵:6月5日消息,據官方消息,Move 生態 NFT AMM 項目 Mobius 的 Discord 操作帳戶被黑客入侵,導致服務器受損。官方表示,用戶鏈上資產不會受影響,請避免點擊任何其它鏈接。我們將很快建立一個新的 Discord 服務器。[2023/6/5 21:16:39]

打開TSC的網站https://tronsmartcontract.space,點擊AboutUs

這正是TSC的開發者Khanh所擁有的地址

至此,Discord和tg群各路開發者開始梳理Khanh地址以及Tronbank開發者地址的合約部署、調用信息,梳理出以下時間線。

驚人的時間線

以上為Discord頻道中梳理的時間線,下面我們按照北京時間進行更細節的梳理。

4/28/20194:07PM

TronBank開發者部署了TRXPro的測試合約,該合約中通過反編譯并沒有發現后門,合約地址為:

https://tronscan.org/#/contract/TAWLPqFn33U7iaAfP6cXRdJXcBUc1ewCRJ

4/28/20195:35PM

僅在一個半小時后,由TSC開發者Khanh所擁有的地址TTX5N部**署了上文提到的「測試合約」,該合約中存在后門代碼,合約地址為:

https://tronscan.org/#/contract/TYZ4oPdPmwZS9xTUXhnFtQkPFFTi2iAydz

安全團隊:NFT項目Nasty Goons Discord服務器發布釣魚鏈接,請勿點擊:1月21日消息,據CertiK監測,NFT項目Nasty Goons的Discord服務器發布了一條釣魚鏈接,在團隊確認服務器是安全的之前,不要點擊任何鏈接。請社區用戶保持警惕。[2023/1/21 11:25:02]

4/28/201910:48AM

Tronbank開發者了部署TRXPro的正式版合約,該合約即被盜合約,其中有后門代碼,合約地址為:

https://tronscan.org/#/contract/TW9AE7u5QADp2uej9xdaNVTYtqsRuJZNxJ

4/28/201911:00PM

在12分鐘之后,TSC開發者Khanh調用TRXPro的正式版合約,并發送0.011011來測試后門。該筆交易記錄為:

https://tronscan.org/#/transaction/d6d89713ebdb98402ddfd1d454be394a5521c83b7d385ce2c394924a2b923c89

4/30/201910:12AM

TSC開發者Khanh調用自己在4/28/20195:35PM部署的存在后門的「測試合約」,觸發后門,并取走自己充進去的100TRX,該筆交易記錄為:

https://tronscan.org/#/transaction/87bf173c126c4873ad333c02d4e352bacda9bfaae4d91d0bce156eb64bd5219f

安全團隊:Voltz Labs的Discord服務器遭黑客入侵并發布釣魚鏈接:6月29日消息,安全團隊CertiK今日發推文稱,非托管自動化做市商Voltz Labs的Discord服務器已被入侵,其官方Discord的公告頻道中發布了釣魚鏈接,所有其他頻道已關閉觀看。

此前消息,Voltz Labs于去年12月完成Framework Ventures領投的600萬美元種子輪融資。[2022/6/29 1:38:19]

5/3/20194:11AM

wojak調用TRXPro的正式版合約withdraw函數,第一筆轉入了0.000123,并沒有任何效果,交易記錄為:

https://tronscan.org/#/transaction/aabfc7b6cedb2e8ce055c7fdc7a62df558213c63a33092293886b0e4b58277e5

5/3/20194:12AM

1分鐘后,wojak再次調用TRXPro的正式版合約withdraw函數,轉入0.011911,成功觸發后門,提走合約余額2673萬TRX,交易記錄為:

https://tronscan.org/#/transaction/e26666a806e24697fd049e60cf83cf412f58d85cdb0493c014cef0d29d8bdc2e

根據以上信息,可以歸納出兩個事實:

1、Tronbank上線之前的測試版本合約,沒有后門,但最終線上正式版存在后門;

騰訊安全:H2Miner木馬新變種利用Redis高危漏洞入侵云服務器挖礦:11月24日消息,騰訊主機安全(云鏡)捕獲H2Miner挖礦木馬最新變種,該變種利用Redis 4.x/5.x主從同步命令執行漏洞(CNVD-2019-21763)攻擊云服務器,檢測數據顯示該木馬活動有明顯增長。由于用戶將Redis默認端口6379暴露在公網且未使用強密碼認證,導致攻擊者入侵并通過Redis 4.x/5.x版本的主從同步功能執行任意代碼。H2Miner變種木馬入侵后會下載kinsingXXXXXXXXXX(10位隨機字符)木馬作為挖礦木馬kdevtmpfsi的維持進程,并且通過安裝定時任務持久化、通過SSH復用連接進行橫向移動感染。H2Miner挖礦木馬會占用大量CPU資源進行挖礦計算,可能導致業務系統崩潰,該挖礦木馬還會嘗試卸載云服務器的安全軟件。(騰訊威脅安全情報中心)[2020/11/24 21:59:07]

2、TSC開發者Khanh在Tronbank測試版合約發布當天部署過一個有相同后門的合約,并且知道后門的調用方式,且在4月30日自己進行過測試。也就是說,該后門與TSC脫不了關系。

在與Tronbank團隊的溝通中,開發者提到,他們是使用TSC進行編譯的。

注:以下內容是基于現有事實依據的可能性探討,不代表最終結論和真相,請再次傳播時不要斷章取義。

在第一篇文章《被盜1.7億BTT今又被盜2600萬TRX,TronBank在刻意埋藏后門?》中,我們曾提到過三種可能性:

可能性一:Tronbank開發者在實際部署的合約中夾雜私貨放置了后門,并成功欺騙了TSC完成了另一份沒有后門的代碼驗證;

可能性二:Tronbank團隊和TSC團隊合謀,部署了有后門的合約,同時TSC協助用另一個沒有后門的合約完成驗證;

可能性三:Tronbank團隊沒有在合約中放置后門,而是后門在合約部署過程中以某種方式產生。

根據以上掌握到的更新信息,第一種可能性被否決,因為整個事件中,TSC開發者是最早調用后門的人,并不存在不知情被欺騙的情況,而第三種可能性的概率極大地增加。TSC集合了編譯、部署、驗證的一條龍服務,從理論上來說,如果開發者使用TSC進行編譯并部署,期間確實有可能增加后門代碼。

在事發當天5月3日,Discord上詢問為什么TRXPro的實際運行代碼與驗證代碼不一致時,Khank的回應如下:

上午7點22分回應:我剛起床聽到消息,讓我來掃描一下所有

晚上9點18分回應:各位抱歉,我也不知道為什么他們通過了我的代碼

而5月5日當Khank的地址部署過后門合約并且調用的證據出現后,在Discord網友的質疑下,Khanh的回應如下:

MrFahrenheit:你怎么解釋你的地址對另一個合約調用過可以觸發后門的交易?

Khanh:我的私鑰泄露了,github的密碼也泄露了

這個回應顯然過于蒼白,一方面人們質疑如果私鑰泄露為什么官網還掛著這個地址,另一方面該地址中還有28,052TRX沒有被轉走。

此時此刻根據已有的信息進行客觀的分析,存在的可能性依舊有以下幾種:

可能性一:Tronbank團隊和TSC團隊合謀,部署了有后門的合約,同時TSC協助用另一個沒有后門的合約完成驗證。

可能性二:Tronbank團隊沒有在合約中放置后門,而是后門在合約部署過程中以某種方式產生。

以上的兩種可能性中,目前的證據對于而言偏向于第二種可能性,Tronbank團隊目前正在多次與Khanh溝通,并將部分對話截圖貼出,Tronbank團隊堅持沒有放置任何的后門,而是指向TSC是真正放置后門的元兇。目前雖沒有決定性的證據顯示后門是由Khanh放置,但是TSC和Khanh自身與后門已經脫不了干系。

可能性三:Khanh的github賬號被盜,地址私鑰泄露,幕后黑手另有其人。

關于這一點依照現有的證據,可能性較低,Khanh的回應含糊其辭,也并沒有提供賬戶被盜的證據

至此最終的謎題仍未解開,這一場年度大戲尚未落下帷幕,更多的證據仍待挖掘。

wojak的財富密碼

整個事件中,wojak的那一筆神奇的交易依舊是關注本次事件的群眾口中一直談論的話題。究竟是什么樣的奇技巧能讓自動執行的代碼找到后門,并且觸發后門?

在DappReview與wojak的對話中,給出了答案:

wojak的靈感來自于2018年8月的一篇論文《TEETHER:GnawingatEthereumtoAutomaticallyExploitSmartContracts》

該論文主要講了什么呢?

基于底層的EVM指令,提出了存在漏洞的智能合約的一種廣義定義;

提出了TEETHER工具,該工具能夠對于智能合約的字節碼進行自動化的漏洞識別并生成相應的漏洞利用代碼;

對于以太坊區塊鏈中部署的38,757個智能合約進行了大規模的漏洞分析,其中TEETHER工具發現了815個合約中的漏洞,整個過程完全自動化。

用一個不恰當但是通俗的比喻來說:TEETHER工具就是一臺能自動從智能合約找漏洞并且提款的ATM機。

wojak基于這篇文章做了什么事情?

1、把TEETHER工具針對波場虛擬機做了適配;

2、收集波場上所有智能合約;

3、對所有的合約執行TEETHER工具來分析;

4、找到可能的套利機會比如從合約A中以X的價格購買某Token,然后在合約B中以Y價格賣出,整個流程都是自動化執行而且合法;

5、工具會產生一系列可能產生收益的交易列表;

6、腳本自動執行并出發這些交易。

本質上,那一筆神奇的交易就是這樣自動觸發的,連他自己都不知道發生了什么。至于wojak本身的行為是否可以定義為「黑客」,或者「違法」,此處暫且不展開深究。

有興趣研究這篇「財富密碼」的請看:

https://publications.cispa.saarland/2612/1/main.pdf

截至發稿,Tronbank已經宣布完成了鏈上投資數據的收集,統計完成后將按照原計劃發放賠付TRX。此外,TSC開發者Khanh已經關閉了個人Twitter和Facebook。

來源鏈接:mp.weixin.qq.com

Tags:TRORONtronANKCENTRO幣KRONE價格tronlink官網ANK價格

Ethereum
HOR:5.5早間行情:BTC新高震蕩 BCH奮起直追_BTCG

文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
HOLD:股份制公司創造了世界主要的財富 加密網絡會是下一個嗎?_ONE

撰文:realthinkbit本文想討論的是加密網絡作為工具,當它作用于現代公司治理時,其可能的作用是什么?對于這個問題,其實區塊鏈行業展開過很多想象和討論,比如通證經濟,比如STO.

1900/1/1 0:00:00
POW:區塊鏈共識和最終性簡史:從比特幣到波卡_POS

前言:去中心化特性決定了區塊鏈有達成共識的需要。區塊鏈的共識機制從比特幣的PoW開始逐漸發展出新模式,如PoS、BFT等。而波卡采用了混合的共識算法。共識機制一直都會是區塊鏈技術發展的重點領域.

1900/1/1 0:00:00
MAKE:DAI穩定費漲瘋了 20%還不考慮降費嗎?_DAIN幣

金色財經比特幣5月3日訊與美元掛鉤的穩定幣DAI目前價格仍然低于1美元,但至少,現在DAI能夠維持在“穩定”狀態了.

1900/1/1 0:00:00
INC:區塊鏈忠誠度可以解決的不僅僅是破碎的客戶獎勵_COP

作者:GuyBrandon傳統的零售忠誠度計劃對消費者或企業幾乎沒有價值。區塊鏈獎勵制度可以改變這一點,并解決更為深刻的不平等問題和缺乏良好投資的機會。傳統的忠誠不起作用.

1900/1/1 0:00:00
NCE:Binance開放ATOM/USDC、ATOM/PAX、ATOM/TUSD交易市場_binance

親愛的用戶: Binance將于2019年05月07日20:00上線ATOM/USDC、ATOM/PAX、ATOM/TUSD交易市場.

1900/1/1 0:00:00
ads