少写一行代码的教训:TronBank 1.7 亿 BTT 仅 3 小时就被洗劫一空_BTT:MSG

波场DApptronbank于4月11日凌晨1点遭受假币攻击。11日上午Beosin成都链安技术团队作出初步分析,判断该次假币攻击事件主要原因在于合约没有严格验证代币的唯一标识符代币ID,错误的将攻击者自己发行的无价值代币识别为价值85万元的BTT代币,从而造成了损失。同时及时发出预警,预判黑客团队未来可能将攻击重点转向波场。

原文标题:《BTT假币攻击事件细节披露及修复方案》

现针对此次事件,成都链安技术团队进一步作出深度分析。

首先,我们先看此次BTT假币攻击事件中的漏洞源码,如下图:

成都链安技术团队分析发现,该假币漏洞是由于invest函数只判断了msg.tokenvalue,而没有判断msg.tokenid是否为真实BTT代币的ID:1002000所导致。

24小时BTC全网合约成交数据显示:多方占优:据合约帝数据显示,最近24小时BTC全网合约成交量中开多比例为50.99%,开空比例为49.01%。主流合约交易所中,Huobi季度开多比例为50.19%,开空比例为49.81%;OKEx季度开多比例为57.55%,开空比例为42.45%;BitMEX合约开多比例为49.22%,开空比例为50.78%。[2020/10/26]

TRC10标准是波场本身支持的技术代币标准,标准规定了两个重要参数:msg.tokenvalue和msg.tokenid。其中msg.tokenvalue表示当前msg调用的代币数量,而msg.tokenid表示当前调用者使用的代币种类标记ID。每种TRC10标准的代币都有一个独一无二的标记ID作为代币种类证明。

数据显示:深京杭区块链人才年薪逾30万:据《2020年中国区块链人才发展报告》显示,2019年区块链从业者年薪在20—40万元区间占比最高,约为43.3%,其中年薪在20—30万元从业者数量最多,占比为24.53%。另外,区块链从业者年薪在50—100万元区间占比约为15.15%。2019年深圳、北京、杭州三个城市的薪资位居全国三甲,平均年薪分别为32.63万元、31.68万元、31.41万元。(互链脉搏)[2020/3/19]

BTTBank合约在收取代币时没有对收到代币的tokenid做任何判断,合约中仅仅判断了msg发送代币的数量msg.tokenvalue。当合约收到调用者发送的代币数量msg.tokenvalue时,合约错误的认为该代币数量是BTT的数量。但实际上调用者使用的是假币tokenid为1002278的代币数量。BTTBank将假币视同于真币记录到投资者账号。

ZB交易所已支持TRC20-USDC的充提:据官方消息,ZB交易所已支持TRC20-USDC的充值和提现。

据悉,USDC已经在波场链发行,目前流通量已突破1亿枚,波场TRON在稳定币领域已布局四大稳定币,包括USDT、USDJ、TUSD、USDC。

USD Coin(USDC)是一个完全可抵押的对标美元的稳定币,它提供详细的财务和运营透明度,并在美国货币流通法的框架内运行,而且跟多家银行机构和审计团队合作。2018年10月,Circle和Coinbase共同宣布成立Centre联盟,这是Centre的第一个稳定币开源项目。[2021/8/4 1:33:42]

而攻击者账号TRC10代币中存在BTT和BTTx两种代币,可见两种代币的ID差异,BTT代币ID:1002000,BTTx代币ID:1002278。

Pax Treasury在以太坊网络上增发逾1580万枚BUSD:Whale Alert数据显示,北京时间11月29日04:39,Pax Treasury在以太坊网络上增发15,801,825枚BUSD,增发哈希值为:0xcb7045ba4f8726148afebfdbaa0889d957217de44200b6f2ffc4f7cdbc222731。[2020/11/29 22:28:46]

攻击者于4月11日凌晨创建发行990,000,000,000,000,000个名为BTTx的假币

接着在假币创建完成后,攻击者将四千万创建的假币BTTx发送给四个攻击小号TB9jB76Bk4tk2VhzGAb6t1aCYgW7Z4iicY,TQM4uEWPQvVe2kGbWPZtVLMDFrTLERfmp4,TKp1stjapNqr4pkDQjU9GTitsYBUrKAGkh,TF2EWZJZSokGdtk4fj7PqCmuGpJasVXJ3K

当攻击小号收到假币后,攻击者又调用BTTBank合约有缺陷的invest函数。

接下来在触发invest函数后,BTTBank项目方将大量BTT转入了预先设置的投资账号TPk,TT4,TGD,这笔资金实际上未被黑客获得,但项目方在没有收到BTT的情况下进行了真实的投资。

下图为源码中对三个投资地址的具体设置代码:

BTTBank投资的三个投资账号中都收到了大量BTT代币,如下图所示。

黑客触发invest函数后通过withdraw函数取到了BTTBank奖励池的真正的BTT代币,最终四个小号将赃款集中转向黑客主账号TCX1Cay4T3eDC88LWL7vvvLBGvBcE7GAMW

攻击者账户中的BTT赃款和攻击使用的假币BTTx如下:

此外,成都链安技术团队对在Github上开源的其他项目方代码进行检查,发现还有其他项目方存在此安全问题:如下为有问题的合约地址:TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx

TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5

TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy

TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV

TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i

因此Beosin成都链安呼吁广大项目方提高警惕予以重视,检查自己的合约是否存在上述安全漏洞,并及时进行更新。

发生原因:

据Beosin成都链安技术团队分析,上述问题的发生存在两个方面的原因:1)开发者对波场代币的使用机制研究不足,可能套用了以太坊的代币使用方法;2)攻击者在迁移其它公链上存在的攻击方式,如EOS已经存在的假币攻击方式。

修复意见:对此,Beosin成都链安技术团队建议:项目方在收取代币时应同时判断msg.tokenvalue和msg.tokenid是否符合预期。并给出该漏洞代码修复方式,如下:

Invest函数增加代码:require(msg.tokenid==1002000);require(msg.tokenvalue>=minimum);minimum是最小投资额

同时,Beosin成都链安提示:黑客团队未来可能将攻击重点转向波场,波场公链的DApp市场高度繁荣但一直未曾遭到过eos公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。

并且Beosin成都链安也建议各大项目方加强合约的安全防护级别和安全运维强度,尽量防范未然,避免不必要的损失,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,共同维护公链安全生态。

本文来源于非小号媒体平台:

Beosin成都链安

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627175.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

PeckShield深入代码层面分析,黑客究竟如何盗走1.7亿BTT?

下一篇:

上线3小时即被盗走1.7亿BTT:TronBank未审计代码致假币攻击

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-3:671ms