[新聞] 波場 Dapp TronBank 遭到假幣攻擊,於一小時之內遭竊約 1.7 億顆 BTT

看板DigiCurrency (數位貨幣)作者 (達克鴨)時間5年前 (2019/04/15 15:39), 5年前編輯推噓1(100)
留言1則, 1人參與, 5年前最新討論串1/1
新聞來源連結: https://www.blocktempo.com/tron-dapp-tronbank-was-fishing-170mln-btt 波場 Dapp TronBank 遭到假幣攻擊,於一小時之內遭竊約 1.7 億顆 BTT DappReview 的數據監測,波場 Dapp TronBank 在 4 月 11 日凌晨遭到假幣攻擊,在 1 小時之內,遭竊約 1.7 億顆 BTT,截至截稿為止,BTT 代幣價格為 0.000725,遭竊的 BTT 約價值 123,250 美元。 悉,駭客創造了名為 BTTx 的假幣,而 TronBank 的「invest 函數」只判斷 msg.tokenvalue,而沒有判斷 msg.tokenid 是否為真的 BTT ID:1002000。因此駭客拿 到了真正 BTT 投資回報和推薦獎勵,迅速掏空資金池。 備註:BTT ID:1002000 ;BTTx ID:1002278。 根據成都鏈安技術團隊的分析,駭客攻擊流程如下: 1. 駭客在 4 月 11 日凌晨創建發行 990,000,000,000,000,000 顆 BTTx 的假幣(ID: 1002278) 2. 接著,將假幣 BTTx 發送給 4 個攻擊帳號。 3. 攻擊帳號收到假幣 BTTx 之後,駭客調用了有缺陷的 invest 函數。 4. TronBank 項目方將大量的 BTT 轉入了預先設置的投資帳號 TPK、TT4、TGD, 這時候這筆資金尚未被駭客得到。 5. 接下來,駭客觸發 invest 函數後,通過 withdraw 函數取得了 TronBank 獎勵池中 真正的 BTT 代幣。 而事情發生以後,TronBank 項目方在 4 月 11 日早上的 10:15 關閉了 BTT 的服務頁 面,並在上面表示會針對損失進行全額賠償: 為保證 TronBank 社區用戶利益,截至新加坡時間 4 月 11 日 10點 15 分前, TronBank BTT 玩家由於合約漏洞所遭受的損失,TronBank 將對損失的 BTT ,全額進行 賠償。」 https://i.imgur.com/uSzoqM9.png
而針對這個「假幣攻擊」,波場創辦人孫宇晨在社群平台上表示此次攻擊是 Dapp 的智能 合約本身就有漏洞,跟波場沒有關係,波場的底層協議是完全安全的。 「波場 DAPP 出現的合約安全問題與波場協議本身沒有任何關係,波場協議是完全安全可 靠的。鏈上數字資產完全安全!未來我們將聯合安全企業和合作夥伴對開發者進行一定程 度的安全輔導,提升 DAPP 的安全性!」 https://i.imgur.com/f4Xm96Z.jpg
實際上類似攻擊手法在 EOS 中也曾出現過,例如去年 9 月運行於 EOS 區塊鏈的去中心 化交易所 Newdex 的假 EOS 事件:攻擊者預先在 EOS 帳戶中發行假的 EOS,並由實施攻 擊的帳戶使用假 EOS 掛單買入其他代幣,再由其他帳戶賣出代幣,共詐取 4028 個 EOS 。 而針對此次攻擊事件,據火星財經報導,Prehshield 創始人蔣旭憲表示這是項目方的責 任,這是一種新型、具有廣泛性危害的漏洞,會危害多個 Dapp 的安全性,這與開發者有 關,因此相關合約開發者應該予以警惕。 評論: 因為Pcash可以進行公開交易,還是講一下。 無論是ETH還是TRX, EOS, BCH的代幣都一樣, 直接看代號縮寫是不準的,連我的metamask都有同縮寫的代幣JOY https://i.imgur.com/nq1mHsw.png
因為代幣創建並沒有限制名稱不能一樣,所以實際上可以完全照抄別人的。 代幣要直接認token ID,像這兩個JOY就有不同的Contract地址 https://etherscan.io/address/0xdde12a12a6f67156e0da672be05c374e1b0a3e57 https://etherscan.io/address/0xb8f5c0adc04ebbf0f40866c48959578aa9d86f8a Pcash ID: 1defd3975a2d0196272cdfc308ce80d1381686ed6f613e03538a60f163bb058e http://tinyurl.com/y3vltytv 確定ID是對的之後,可再記下圖示。假如之後有收到圖示不一樣的幣,就是假幣。 https://i.imgur.com/2pSlDnT.png
-- simpleledger:qryeahexpqszdt9ffech6jhxu6wsfp0fnyhgd44ahf Bitcoin: 1GxtyprMfcxE366BDUsg1skQyuAnxktZjc https://www.blockchain.com/zh/btc/address/1GxtyprMfcxE366BDUsg1skQyuAnxktZjc Bitcoin Cash: bitcoincash:qp928h4q4xasa5wh2x88xhsxgc4vwj6g95uzq0ak97 https://goo.gl/2qNr43 Ethereum: 0x4A2B1e35eb64141bbad4C58cB7D79692bC5Dbbc2 https://etherscan.io/address/0x4A2B1e35eb64141bbad4C58cB7D79692bC5Dbbc2 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.237.121.67 ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1555313950.A.C48.html ※ 編輯: DarkerDuck (36.237.121.67), 04/15/2019 15:50:41 ※ 編輯: DarkerDuck (36.237.121.67), 04/15/2019 15:58:48

04/15 16:33, 5年前 , 1F
幫QQ
04/15 16:33, 1F
※ 編輯: DarkerDuck (36.236.95.238), 05/02/2019 04:09:17
文章代碼(AID): #1Sj3KUn8 (DigiCurrency)
文章代碼(AID): #1Sj3KUn8 (DigiCurrency)